Узнать правду
Image

Наука безумнее, чем фантастика

Мы нашли ответы на вопросы, о которых вы даже не задумывались. Факты, которые заставят ваш мозг работать на 101%.

Когда хакеры работают быстрее журналистов. Китайская группа Mustang Panda и ее любовь к горячим темам

leer en español

Zscaler PlugX Mustang Panda Китай кибератаки Ближний Восток фишинг
Когда хакеры работают быстрее журналистов. Китайская группа Mustang Panda и ее любовь к горячим темам
Zscaler PlugX Mustang Panda Китай кибератаки Ближний Восток фишинг

Хакеры научились подстраиваться под мировой хаос быстрее СМИ.

image

Специалисты Zscaler зафиксировали новую волну атак, связанную с китайской кибергруппой, которая сосредоточилась на странах Персидского залива. Кампания стартовала в первые сутки после обострения конфликта на Ближнем Востоке и быстро адаптировалась под новостную повестку, используя тему ракетных ударов как приманку.

Атака начиналась с ZIP-архива, внутри которого находился файл с двойным расширением, маскирующийся под PDF. После открытия запускалась цепочка загрузки вредоносных компонентов. Сначала система скачивала CHM-файл с удалённого сервера, затем извлекала дополнительные элементы, включая поддельный документ на арабском языке с описанием ракетной атаки Ирана по базе США в Бахрейне. Такой файл использовали для отвлечения внимания.

Дальнейшие этапы включали запуск второго ярлыка, распаковку архива в системную директорию и выполнение программы, имитирующей легитимное ПО. Через механизм подгрузки библиотек злоумышленники внедряли вредоносную DLL, которая закреплялась в системе и расшифровывала основной полезный код.

Ключевым элементом атаки стал бэкдор PlugX. Вредонос скрывали с помощью многоуровневого шифрования и запутанных алгоритмов, затрудняющих анализ. Код применял методы искажения логики выполнения и маскировал API-вызовы, что увеличивало время на разбор и снижало эффективность защитных решений.

После активации PlugX получал возможность управлять заражённой системой через несколько каналов связи, включая HTTPS и DNS-over-HTTPS. Бэкдор собирал данные о системе, отслеживал файлы и процессы, а также поддерживал загрузку дополнительных модулей, среди которых инструменты для перехвата нажатий клавиш, работы с сетью и удалённого доступа.

Анализ используемых техник, ключей шифрования и структуры кода показал сходство с ранее известными кампаниями, связанными с группировкой Mustang Panda. Дополнительным фактором стала скорость адаптации под геополитические события — характерная черта подобных операторов.

Отчёт подчёркивает тенденцию: злоумышленники всё чаще используют актуальные новости для повышения эффективности фишинговых атак. В подобных условиях вредоносные файлы маскируются под срочные сообщения и распространяются с расчётом на быстрые реакции пользователей.