Шпионить без интернета: Как новый вирус ShadowRelay проникает в закрытые сети чиновников

Эксперты центра исследования киберугроз Solar 4RAYS обнаружили новое вредоносное ПО под названием ShadowRelay, которое было использовано для атаки на инфраструктуру организации госсектора. Бэкдор отличается высокой технической сложностью и продуманной архитектурой, что указывает на серьезную подготовку атакующих.

История началась весной 2025 года, когда эксперты Solar 4RAYS выявили признаки компрометации инфраструктуры одной из государственных организаций азиатской группировкой Erudite Mogwai, также известной как Space Pirates. После обращения к службе информационной безопасности компании началось детальное расследование инцидента.

Выяснилось, что точкой входа злоумышленников стал почтовый сервер Exchange, который был скомпрометирован еще летом 2024 года через эксплуатацию известной цепочки уязвимостей ProxyShell. Парадокс ситуации в том, что эти уязвимости были обнаружены еще в 2021 году, но продолжают оставаться актуальными и сегодня. Сервер установили и опубликовали летом 2024 года, и буквально через несколько недель его обнаружили сразу несколько хакерских группировок.

На зараженной системе исследователи нашли целый арсенал вредоносного ПО от различных группировок: оригинальный ShadowPad, Shadowpad Light, Donnect и Mythic Agent. Однако самой интересной находкой стал ранее неизвестный модульный бэкдор, который получил название ShadowRelay.

Особенность ShadowRelay в том, что сам по себе бэкдор не содержит шпионской или управляющей функциональности. Вместо этого он позволяет скрытно загружать различные плагины, которые реализуют нужную атакующим функциональность в конкретной ситуации. Такой модульный подход помогает избежать обнаружения и не компрометировать весь арсенал злоумышленников сразу. К сожалению, исследователям пока не удалось обнаружить сами плагины, поэтому конечные цели атакующих остаются неясными.

Технически бэкдор демонстрирует высокий уровень разработки. При запуске он пытается установить себя в качестве системного сервиса. Имеет встроенную защиту от отладчиков и песочниц — для запуска требуется специальный параметр из конфигурации, а при обнаружении средств анализа активирует функцию самоуничтожения. Бэкдор умеет внедряться в другие процессы, чтобы скрыть свое присутствие в системе.

Особенно интересна способность ShadowRelay переиспользовать уже открытые порты для своего сетевого взаимодействия. Это позволяет вредоносу маскировать свой трафик под легитимный и обходить межсетевые экраны. Кроме того, бэкдор может работать в режиме клиент-сервер, что дает возможность создавать целую сеть из зараженных машин и поддерживать связь с компьютерами в защищенных сегментах без прямого доступа к интернету. Это означает, что атакующие могут контролировать даже те системы, которые изолированы от внешней сети.

Анализ конфигураций показал, что злоумышленники использовали серверы в разных странах для управления бэкдором. В коде обнаружены продуманные механизмы многопоточности с кастомными классами потоков и системой контекстов для обмена данными между компонентами.

Хотя ShadowRelay был обнаружен в инфраструктуре одновременно с активностью группировки Obstinate Mogwai, эксперты Solar 4RAYS пока не установили прямой связи между этим инструментом и данной группой. Присутствие на зараженном сервере вредоносного ПО от нескольких других группировок значительно расширяет круг подозреваемых.

Тем не менее, анализ возможностей бэкдора позволяет сделать выводы о мотивах его операторов. Средства скрытия сетевой активности, способность шпионить в защищенных сегментах сети, внедрение в процессы и модульная архитектура указывают на высокий уровень подготовки атакующих. Основная цель таких инструментов — длительное незаметное присутствие в атакованной инфраструктуре для проведения шпионажа. Подобное поведение характерно для прогосударственных APT-группировок.