Бесплатный хостинг от правительства: группа Ink Dragon превращает госсерверы в свою инфраструктуру

Исследователи Check Point Research раскрыли масштабную шпионскую операцию китайской APT-группы Ink Dragon, которая превращает взломанные серверы государственных организаций в распределённую сеть ретрансляции команд и трафика, фактически используя самих жертв как элемент своей инфраструктуры управления.

Ink Dragon, также известная под именами Earth Alux, Jewelbug, REF7707 и CL-STA-0049, активно действует как минимум с начала 2023 года. Изначально группа концентрировалась на государственных, телекоммуникационных и публичных организациях в Юго-Восточной Азии и Южной Америке, однако в последние месяцы заметно усилила активность против правительственных структур в Европе. Кампании группы отличаются высоким уровнем инженерной проработки, аккуратной операционной дисциплиной и активным использованием легитимных системных компонентов, что позволяет атакам долго оставаться незаметными.

Ключевой особенностью Ink Dragon является подход, при котором скомпрометированные серверы не просто используются для шпионажа, а встраиваются в глобальную распределённую сеть ретрансляции. Для этого злоумышленники разворачивают специализированный IIS-модуль ShadowPad Listener, который интегрируется в веб-сервер и незаметно перехватывает HTTP(S)-трафик. Каждый заражённый сервер становится узлом, способным принимать команды, пересылать их другим жертвам и проксировать соединения, тем самым расширяя инфраструктуру управления без использования выделенных C2-серверов.

Первичное проникновение в большинстве случаев осуществляется через давно известные, но всё ещё распространённые ошибки конфигурации IIS и SharePoint. Ink Dragon активно эксплуатирует уязвимости десериализации ASP.NET ViewState, используя предсказуемые или утёкшие machineKey-значения, что позволяет выполнять произвольный код. В ряде атак также применялась цепочка уязвимостей ToolShell в локальных установках Microsoft SharePoint, которая даёт возможность неаутентифицированного удалённого выполнения кода и установки веб-шеллов. Летом 2025 года группа проводила массовое сканирование на уязвимые SharePoint-серверы, что указывает на ранний доступ к эксплойтам.

Получив начальную точку опоры, злоумышленники переходят к активному боковому перемещению. Из конфигураций IIS и рабочих процессов извлекаются учётные данные сервисных аккаунтов, которые часто повторно используются в инфраструктуре организации. Это позволяет Ink Dragon быстро перейти от выполнения кода в контексте веб-процесса к полному контролю над сервером и далее к аутентификации на соседних хостах. Для перемещения широко используются RDP-туннели и встроенные возможности ShadowPad, а активность маскируется под легитимные административные сессии.

Закрепление в системе достигается через создание заданий планировщика и установку служб с правами SYSTEM. Исполняемые файлы маскируются под системные компоненты Windows, такие как conhost.exe, при этом нередко имеют действительные цифровые подписи от известных производителей, что снижает вероятность обнаружения. Для повышения привилегий Ink Dragon сочетает эксплуатацию локальных уязвимостей, включая техники семейства Potato, с агрессивным сбором учётных данных. В атаках применяются собственные инструменты для дампа LSASS, извлечения хэшей NTLM и Kerberos-артефактов, а также активный поиск «зависших» административных RDP-сессий, из которых можно извлечь токены доменных администраторов.

Отдельное внимание группа уделяет обеспечению исходящего трафика. На взломанных хостах создаются локальные правила брандмауэра, разрешающие любой outbound-трафик под видом легитимных компонентов Windows Defender. Это превращает серверы жертв в свободные прокси-узлы, пригодные для эксфильтрации данных и ретрансляции команд.

Центральным элементом всей операции является IIS Listener Module ShadowPad. Он регистрирует скрытые URL-обработчики через API HttpAddUrl, перехватывает только «нужные» запросы, а весь остальной трафик обслуживает как обычный IIS. Модуль способен классифицировать подключающиеся узлы как «серверы» и «клиенты», автоматически связывать их между собой и прозрачно пересылать данные в обе стороны. В результате одна скомпрометированная организация может незаметно служить промежуточным узлом для управления вредоносным ПО в совершенно других сетях, включая инфраструктуру других государств.

Помимо функций ретрансляции, тот же IIS-модуль содержит полноценный набор команд ShadowPad для управления системой: сбор информации, работу с файлами и процессами, запуск интерактивных оболочек и сетевое проксирование. Таким образом, каждый узел сети одновременно является и точкой доступа, и частью распределённой C2-инфраструктуры. Анализ отладочных строк модуля позволил исследователям восстановить цепочки пересылки команд и наглядно показать, как именно жертвы связываются между собой.

После закрепления Ink Dragon разворачивает дополнительные компоненты постэксплуатации. Среди них — различные загрузчики ShadowPad с сайдлоадингом DLL, оригинальный CDBLoader, использующий отладчик cdb.exe для выполнения shellcode в памяти, и инструмент LalsDumper для скрытого создания дампов LSASS с применением прямых системных вызовов. В более поздних стадиях атаки используется обновлённая версия трояна FinalDraft — модульной RAT-платформы, которая применяет Microsoft Graph API и почтовые ящики Outlook в качестве канала управления.

FinalDraft позволяет гибко настраивать расписание соединений, собирать историю RDP-подключений, ослаблять защитные механизмы Windows и выполнять высокоскоростную эксфильтрацию данных через облачные сервисы Microsoft. Конфигурация вредоноса привязывается к конкретному хосту, что усложняет анализ и повторное использование образцов.

Жертвами Ink Dragon преимущественно становятся государственные организации. В последние месяцы зафиксирован рост атак против европейских структур, причём взломанные в Европе серверы используются для операций против целей в Африке и Юго-Восточной Азии. В ряде случаев на тех же системах была обнаружена активность другой китайской группы — RudePanda, которая использовала собственные IIS-модули, веб-шеллы и даже загружала kernel-rootkit, однако прямой координации между группами исследователи не выявили.

По мнению Check Point Research, Ink Dragon демонстрирует зрелую модель кибершпионажа, в которой граница между «жертвой» и «инфраструктурой управления» фактически исчезает. Каждый новый взломанный сервер усиливает общую сеть, повышая её живучесть и скрытность. В таких условиях защита отдельных узлов становится недостаточной: для противодействия подобным операциям требуется выявлять и разрушать всю цепочку ретрансляции, иначе скомпрометированные системы продолжат работать на злоумышленников ещё долгое время.