Редактор кода — теперь шпионский инструмент. Один ярлык может раскрыть секреты экономики целой страны

leer en español

TA415 Proofpoint APT41 VSCode кибершпионаж Китай США
Редактор кода — теперь шпионский инструмент. Один ярлык может раскрыть секреты экономики целой страны
TA415 Proofpoint APT41 VSCode кибершпионаж Китай США

Переговоры с Китаем ещё не начались, но США их уже проиграли.

image

Proofpoint опубликовала анализ, в котором описала серию целевых фишинговых атак, организованных группой, связанной с китайскими государственными интересами и обозначаемой как TA415. В отчёте говорится, что злоумышленники нацеливались на сотрудников правительственных структур США, аналитические центры и научные организации, работающие по темам американо-китайских экономических отношений, и выстраивали рассылки под видом председателя Комитета по стратегической конкуренции США с КНР и под видом U.S.-China Business Council — всё в попытке собрать разведданные перед переговорами по торговле.

Атаки регистрировались в июле и августе 2025 года и использовали письма с тематическими приглашениями на закрытые брифинги по вопросам Тайваня и торговых отношений. Почтовые отправления исходили с адреса uschina@zohomail[.]com и дополнительно маскировались через сервис Cloudflare WARP, чтобы скрыть источник трафика. Получателям предлагали загрузить защищённые паролем архивы с облачных площадок — Zoho WorkDrive, Dropbox, OpenDrive — внутри которых находился LNK-ярлык и набор скрытых файлов.

Ярлык запускал пакетный скрипт из маскирующей папки и одновременно показывал пользователю PDF-имитацию, в то время как на фоне запускался обфусцированный Python-загрузчик под названием WhirlCoil. Ранее аналогичные цепочки загружали этот загрузчик с публичных Paste-сервисов или устанавливали Python-пакет непосредственно с официального сайта Python. Для закрепления доступа злоумышленники создавали планировщик задач с названиями вроде GoogleUpdate или MicrosoftHealthcareMonitorNode, который запускал загрузчик каждые два часа и, при наличии прав администратора, выполнялся с привилегиями SYSTEM.

Дальнейший модуль устанавливал постоянный туннель Visual Studio Code Remote Tunnel, что позволяло организовать удалённый доступ к файловой системе и выполнение команд через встроенный терминал VSCode. Сбор системной информации и содержимого пользовательских директорий отправлялся на бесплатный сервис логирования запросов в виде base64-blob в теле HTTP POST. По данным Proofpoint, такой же приём с визуальным кодовым туннелем уже использовался в сентябре 2024 года против компаний аэрокосмического, химического и производственного секторов.

Аналитики отмечают пересечения тактик и инструментов TA415 с кластерами, которые ранее связывали с APT41 и Brass Typhoon, и связывают активность с попытками получить преимущество в ходе переговоров по экономическим вопросам между США и Китаем. В отчёте подчёркивается направленность ударов на экспертов по торговле и экономической политике, что указывает на выборку целей по тематическому признаку и на намерение получить доступ к специализированной, часто непрозрачной информации.