Как стать кибершпионом за выходные. Рецепт от Китая: просроченный домен, хостинг в США и немного маскировки

Пока большинство компаний обсуждает очередные уязвимости, несколько китайских хакерских групп тихо разворачивают инфраструктуру для шпионских операций. Анализ новых образцов вредоносной программы PlugX показал сеть доменов и серверов, которую используют Mustang Panda, UNC6384 и RedDelta. Часть адресов до сих пор не фигурировала в открытых отчётах.

Специалисты Cyber and Ramen обнаружили 14 доменов, связанных с продолжающейся шпионской активностью. Все домены ведут к инфраструктуре управления заражёнными системами. Операторы предпочитают регистрировать просроченные доменные имена, размещать их на виртуальных серверах автономной системы 149440, принадлежащей Evoxt Enterprise, а затем прятать реальные серверы за защитой Cloudflare. Регистрацию выполняют через NameCheap и NameSilo, почти всегда с включённой защитой данных владельца.

PlugX относится к троянам удалённого управления. Вредоносная программа существует больше десяти лет и регулярно появляется в кампаниях, связанных с китайскими хакерскими группами. Такие атаки обычно направлены против государственных структур, дипломатических миссий и общественных организаций. Первые кампании затрагивали страны Юго-Восточной Азии, но позже атаки распространились на Европу и другие регионы.

Летом 2025 года подразделение Google по анализу угроз связало многоступенчатую шпионскую операцию с группой UNC6384. Кампания началась с рассылки загрузчика STATICPLUGIN с цифровой подписью. После запуска загрузчик устанавливал PlugX. Аналитики Google обнаружили, что UNC6384 и Mustang Panda используют пересекающиеся серверы управления и распространяют одну и ту же модификацию вредоносной программы, известную как SOGU.SEC.

В январе 2025 года была описана похожая активность RedDelta. Кампания нацелилась на Тайвань, Монголию и страны Юго-Восточной Азии. Группа использовала один и тот же приём: заново регистрировала просроченные домены через NameCheap и подключала инфраструктуру Cloudflare для сокрытия настоящих серверов.

Новая волна активности проявилась в феврале 2026 года. 24 февраля специалисты японской компании Internet Initiative Japan разобрали вариант PlugX, который распространялся через обновлённый загрузчик STATICPLUGIN и связывался с доменом fruitbrat[.]com. Через два дня команда Lab52 описала другую цепочку заражения. Вредоносный код запускал инструмент сборки MSBuild и загружал библиотеку через подмену DLL, после чего подключался к домену decoraat[.]net. Оба домена входят в ту же инфраструктуру.

Расследование началось после публикации образца PlugX в социальной сети X. Пользователь под псевдонимом smica83 выложил файл Avk.dll и указал ссылку на хранилище вредоносных программ. На следующий день специалист Наоки Такаяма проанализировал образец и обнаружил изменения в конфигурации вредоносной программы. Новый вариант использовал шифрование RC4 и кодирование данных. В конфигурации присутствовал адрес сервера управления: 108.165.255[.]97:443.

Проверка показала, что сервер отвечает на портах 443, 3389 и 5985. Адрес принадлежит сети Evoxt Enterprise. Ранее инфраструктуру PlugX публично не связывали с этим провайдером.

Изучение сертификата на порту 443 показало ещё одну деталь. Сервер использовал сертификат Cloudflare Origin, где в списке доменных имён присутствовал fruitbrat[.]com. Записи WHOIS подтвердили регистрацию домена через NameCheap с серверами имён Cloudflare. Информация о владельце скрыта службой защиты конфиденциальности.

Одних данных о регистрации недостаточно, чтобы уверенно определить инфраструктуру PlugX. Похожих серверов в сети тысячи. Поэтому специалисты изучили дополнительные признаки. На серверах автономной системы 149440 обнаружили характерные заголовки веб-сервера nginx версий 1.26.3 и 1.28.0. Совпадение нескольких признаков позволило найти новые адреса, которые ранее не упоминались в отчётах.

Evoxt Enterprise предоставляет виртуальные серверы, в основном размещённые в США. Инфраструктура также присутствует в Малайзии, Японии, Великобритании, Гонконге и Германии. Ранее отчёты о кибератаках уже связывали эту сеть с размещением серверов управления и промежуточной инфраструктуры.

Хронология одного из доменов показывает характерную схему работы. В середине января 2026 года для fruitbrat[.]com выпустили сертификат Cloudflare. Тогда же обновили регистрацию домена и подключили серверы имён Cloudflare. 6 февраля в сети появился образец PlugX, связанный с этим адресом. Через день специалисты нашли сервер управления 108.165.255[.]97. Позже анализ японской компании IIJ подтвердил связь домена с вредоносной программой.

Между регистрацией домена, выпуском сертификата и переносом инфраструктуры проходит всего 1-3 дня. Такая скорость указывает на заранее подготовленную схему разворачивания серверов. Сначала операторы размещают домен на сервере Evoxt, затем быстро прячут инфраструктуру за прокси Cloudflare, чтобы скрыть реальный адрес.

Некоторые домены из обнаруженной сети открывают обычные веб-страницы с шаблонными сайтами о технологиях или совместной работе. Один из доменов, basecampbox[.]com, выглядит как простой сервис для управления проектами и общения в команде. Вероятно, шаблоны сайтов добавили для маскировки.

Поведение инфраструктуры, технические характеристики серверов и повторяющиеся шаблоны доменов образуют довольно чёткий профиль. Сопоставление с ранее опубликованными отчётами показывает высокую вероятность связи с Mustang Panda, UNC6384 и RedDelta.

Группы продолжают действовать по одной и той же схеме. Операторы покупают просроченные домены без плохой репутации, размещают их у известных регистраторов и быстро скрывают инфраструктуру за Cloudflare. Такой подход затрудняет обнаружение серверов управления и мешает защите вовремя блокировать вредоносную сеть.

Пока инфраструктура остаётся активной, но маловероятно, что Evoxt сохранит роль основного хостинга надолго. Подобные группы часто меняют площадки. Однако привычки операторов выдают кампании. Даже после изменений в инфраструктуре характерные шаблоны обычно остаются.