Китайские хакеры атаковали Катар на фоне Operation Epic Fury: данные Check Point

Check Point Research зафиксировала рост активности китайских APT-групп на Ближнем Востоке и связала одну из новых волн атак с Катаром. По данным исследователей, злоумышленники начали операции уже 1 марта, через день после начала новой эскалации в регионе и запуска Operation Epic Fury. Аналитики считают, что атакующие быстро подстроили приманки под военные события, чтобы вредоносные письма и архивы выглядели убедительнее на фоне потока новостей.

В одной из цепочек заражения использовался архив, замаскированный под фотографии последствий удара по американской базе в Бахрейне. Внутри находился LNK-файл, который запускал длинную многоэтапную схему загрузки. После обращения к скомпрометированному серверу система получала следующий вредоносный компонент, а финальная стадия задействовала перехват DLL в легитимном клиенте Baidu NetDisk для установки бэкдора PlugX.

PlugX давно связывают с китайскими хакерскими группами. Вредоносный инструмент существует как минимум с 2008 года и поддерживает кражу файлов, захват экрана, запись нажатий клавиш и удаленное выполнение команд. Образец, обнаруженный в катарской кампании, содержал ключ шифрования qwedfgx202211 и ключ расшифровки в формате даты 20260301@@@. Check Point Research отмечает, что похожая комбинация уже встречалась в операциях Camaro Dragon, группы из китайского кластера, который также пересекается с Earth Preta и Mustang Panda.

Исследователи добавили, что похожий способ доставки применялся еще в конце декабря во время атак на военные цели в Турции. Такое совпадение, по оценке Check Point, указывает на более широкий интерес к Ближнему Востоку, а нынешний фокус на Катаре мог появиться на фоне новой региональной напряженности.

В другой кампании злоумышленники, предположительно нацеленные на Катар, использовали запароленный архив с названием Strike at Gulf oil and gas facilities.zip. Вероятным каналом доставки стало электронное письмо. Для приманки атакующие взяли низкокачественные изображения, сгенерированные нейросетью, и попытались выдать материалы за сообщения израильского правительства. Архив доставлял ранее не замеченный загрузчик на Rust, который использовал перехват DLL через nvdaHelperRemote.dll, компонент открытого экранного диктора NVDA.

Check Point Research подчеркивает, что злоупотребление компонентами NVDA раньше встречалось лишь в ограниченном числе кампаний китайского происхождения. Среди похожих эпизодов исследователи назвали операции с бэкдором Voldemort, а также волну атак против целей на Филиппинах и в Мьянме в 2025 году. Финальной полезной нагрузкой во второй цепочке стал Cobalt Strike, легитимный инструмент для тестов на проникновение, который хакеры давно приспособили для разведки внутри скомпрометированных сетей и быстрого закрепления на первых этапах вторжения.

Атрибуция второй атаки пока остается осторожной. Check Point Research оценивает китайский след с низкой степенью уверенности, но указывает на совпадение сразу нескольких признаков: перехват DLL через компоненты NVDA, использование Cobalt Strike, инфраструктуру управления, зарегистрированную через Kaopu Cloud и Cloudflare, а также временные метки, которые укладываются в уже известные паттерны китайских групп.

По мнению исследователей, Катар раньше не так часто фигурировал в открытых отчетах о китайском кибершпионаже, как другие страны региона. Новые кампании показывают, что крупные политические и военные события быстро меняют приоритеты разведывательных групп. Быстрый переход к операциям против катарских организаций может говорить не только о попытке собрать данные на фоне кризиса, но и о более широком интересе к государству, которое занимает важное место в пересечении интересов нескольких региональных и глобальных центров силы.