«Русский след» оказался китайской подделкой. Штирлиц ещё никогда не был так близок к провалу

Специалисты NCC Group наткнулись на редкую удачу: хакеры из группировки Silver Fox забыли защитить собственную веб-панель, через которую отслеживали «скачивания» заражённых установщиков популярных программ. Заглянув внутрь, аналитики увидели, как работает масштабная схема SEO-отравления: злоумышленники поднимают сайты-двойники, выводят их в поиске под видом официальных страниц и раздают пользователям троянизированные версии привычных приложений — от мессенджеров до VPN и утилит для удалённого доступа.

По данным отчёта, кампания ориентирована в первую очередь на китайскоязычную аудиторию и организации в Китае, но следы заражений встречаются и в других регионах — от стран Азиатско-Тихоокеанского региона до Европы и Северной Америки. Внутренняя статистика из найденной панели показывает, что за одну неделю больше всего кликов пришлось на материковый Китай, заметная доля — на США и Гонконг; при этом активность фиксировалась как минимум с июля 2025 года, что говорит о длительной и системной работе инфраструктуры.

Ключевой находкой стала сама «панель управления ссылками» на домене ssl3[.]space: по сути это инструмент операторов, который собирал телеметрию — когда пользователь нажимал кнопку «Загрузить», откуда он пришёл, и как часто происходят такие клики. Аналитики описывают схему просто: на странице загрузки скрытый код отправляет на сервер запрос вроде «клик по такой-то приманке», а панель затем аккуратно раскладывает всё по датам, «суффиксам» и страницам-приманкам. Именно так исследователи смогли восстановить список приложений, которыми злоупотребляли атакующие, и оценить географию.

Среди приманок — не только ранее описанные кейсы с поддельным Microsoft Teams. По данным NCC, Silver Fox продвигала заражённые «установщики» как минимум двух десятков популярных программ: встречаются названия Telegram, Signal, OpenVPN, WPS Office, Sogou, ToDesk, Youdao и другие, причём «загрузка» нередко уводила пользователя не на прямой файл, а на промежуточную страницу с редиректом на облачные хранилища. В отчёте отдельно подчёркивается, что инфраструктура активно использовала публичные облака — в том числе Tencent Cloud и Alibaba Cloud, а также Backblaze, что усложняет блокировки и помогает быстро менять площадки.

Отдельный штрих, который выглядит почти как сюжетная уловка, — попытка запутать расследователей «ложным флагом». Ранее партнёры NCC из отрасли предполагали, что кампания могла маскироваться под русскоязычных акторов, и новый отчёт добавляет деталей: в некоторых случаях файлы и компоненты получали имена с кириллическими символами, создавая впечатление «русского следа». При этом всё остальное — и выбор целей, и набор приманок, и связанная инфраструктура — укладывается в картину активности Silver Fox, которую также знают под несколькими альтернативными именами и связывают с Китаем.

Технически большинство изученных образцов вели к семейству ValleyRAT — модульному трояну удалённого доступа, который встраивается в цепочку через «установщик-обманку». На примере поддельного установщика ToDesk исследователи описывают типичный сценарий: после запуска «инсталлятор» распаковывает компоненты во временные каталоги, маскирует полезную нагрузку под безобидные файлы и запускает DLL через легитимный rundll32.exe. В некоторых вариантах обнаружены попытки ослабить защиту Windows — например, добавить широкие исключения для Microsoft Defender через PowerShell, чтобы упростить дальнейшую работу вредоноса. Для связи с управляющей инфраструктурой фиксировались подключения к узлам в Гонконге на нестандартных портах, а затем подгружались дополнительные компоненты.

Главный практический вывод звучит довольно приземлённо: даже при «правильных» корпоративных политиках входной точкой остаётся человек и поиск в интернете. Если сотрудникам регулярно нужно скачивать мессенджеры, VPN-клиенты или утилиты для удалённого доступа, риск резко растёт — особенно в компаниях с китайскоязычными командами или операциями в Китае. В таких случаях имеет смысл жёстче ограничивать запуск установщиков из временных папок, внимательнее относиться к результатам поиска по названию софта и по возможности переходить на официальные каталоги и проверенные каналы распространения, а не на «первую ссылку в Google».