Сначала они пришли за журналистами. Потом за учеными. Теперь — за всеми.

TAOTH Sogou Zhuyin Trend Micro шпионаж
Сначала они пришли за журналистами. Потом за учеными. Теперь — за всеми.
TAOTH Sogou Zhuyin Trend Micro шпионаж

История самой масштабной операции кибершпионажа в Азии.

image

Согласно отчету Trend Micro, в ходе масштабной кибершпионской операции TAOTH злоумышленники использовали заброшенный сервер обновлений китайского редактора метода ввода (IME) Sogou Zhuyin и серию таргетированных фишинговых атак для распространения вредоносного ПО в странах Восточной Азии. Кампания нацелена на диссидентов, журналистов, учёных и влиятельных лиц в Китае, на Тайване, Японии, Южной Корее и Гонконге, включая также тайваньские сообщества за рубежом.

Первоначальный эпизод связан с программой ввода Zhuyin — версией IME от компании Sogou, популярной на Тайване. После прекращения поддержки продукта в 2019 году, домен обновлений оказался заброшен. В октябре 2024 года злоумышленники зарегистрировали его и начали распространять вредоносные обновления через поддельный установщик и официальную утилиту ZhuyinUp.exe, встроив URL конфигурации обновлений. Через эту цепочку на устройства пользователей загружались четыре различных семейства вредоносных программ — TOSHIS, C6DOOR, DESFY и GTELAM. Для сокрытия активности использовались сторонние облачные сервисы.

TOSHIS представляет собой модуль-загрузчик, модифицирующий точку входа легитимных PE-файлов для внедрения шеллкода. Вредонос активен как минимум с декабря 2024 года и является вариантом семейства Xiangoop. Программа использует алгоритм Adler-32 для разрешения API-хэшей, загружает дополнительные полезные нагрузки (например, COBEACON и агент Merlin) и работает только в системах с языковыми идентификаторами zh-TW, zh-CN или ja-JP. Все образцы используют одинаковый ключ дешифрования полезной нагрузки.

DESFY впервые был замечен в мае 2025 года и собирает имена файлов с рабочего стола и из Program Files, передавая их на C2-сервер через POST-запрос. Цель инструмента — оценка ценности жертвы. GTELAM действует аналогично, но фокусируется на документах популярных форматов (PDF, DOCX, XLSX и др.), отправляя зашифрованные списки файлов в Google Drive. Обе программы выполняют разведку, отбирая перспективные цели.

C6DOOR представляет собой сложный бэкдор на Go с поддержкой HTTP и WebSocket. Он способен выполнять более 15 команд, включая захват скриншотов, инъекции шеллкода, сканирование портов, выполнение команд через SSH и передачу файлов.

После заражения операторы переходили к фазе рекогносцировки — запускали системные утилиты, анализировали сетевые настройки и в одном из случаев загрузили CLI-версию Visual Studio Code для установки туннеля через code.exe tunnel. Это указывает на намерение получить удалённый доступ к окружению жертвы.

Вторая часть кампании разворачивалась параллельно и была основана на фишинговых рассылках, направленных на ту же целевую аудиторию. В письмах содержались либо вредоносные документы, либо ссылки на поддельные страницы входа и облачного хранения. Среди приманок использовались темы, связанные с политикой, научными публикациями и журналистскими инициативами. Один из сценариев включал загрузку архива material.zip с повреждённым PDF и троянским исполняемым файлом PDFreader.exe. Методом DLL Sideloading запускался модуль McVsoCfg.dll — загрузчик TOSHIS. Затем подгружались дополнительные вредоносные компоненты и поддельный документ.

Альтернативный путь атаки — поддельные страницы авторизации (например, с темами «бесплатных подарков ко дню рождения»), при переходе на которые жертва перенаправлялась на OAuth-ссылку, запрашивающую доступ к электронной почте через приложения, контролируемые злоумышленниками. Были выявлены как Google, так и Microsoft OAuth-запросы с разрешениями на чтение и отправку писем. Такие возможности позволяют злоумышленникам перехватывать переписку и распространять фишинг среди контактов жертвы.

Вся активность TAOTH тесно связана с предыдущими задокументированными атаками. Общими признаками являются совпадающие IP-адреса C2-инфраструктуры (например, 45.32.117.177), одинаковые водяные знаки в Cobalt Strike Beacon, схожие методы эксплуатации (туннелирование через VSCode, атаки на цепочки поставок через легитимный софт вроде YouDao и Sogou) и совпадение географии целей.

Специалисты отмечают, что TAOTH пока находится на стадии сбора информации и не осуществляет масштабных атак. Тем не менее, уровень технической проработки и выбор целей указывает на высокую квалификацию операторов. Для защиты от подобных угроз рекомендуется своевременно удалять устаревшее ПО, проверять источники загрузок и внимательно относиться к OAuth-запросам, особенно если они поступают от малоизвестных приложений.