Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Хакеры взломали госорган в Азии и устроили там соревнование по шпионажу

leer en español

Азия Unit 42 Stately Taurus шпионаж госорганы
Хакеры взломали госорган в Азии и устроили там соревнование по шпионажу
Азия Unit 42 Stately Taurus шпионаж госорганы

Несколько групп шпионов одновременно взломали один и тот же госорган.

image

Несколько хакерских групп одновременно проникли в сеть одного госоргана в Юго-Восточной Азии и действовали там параллельно, словно не мешая друг другу. Картина получилась необычная: разные инструменты, разные подходы, но цель одна – закрепиться в системе и тихо выкачивать данные.

Специалисты из Unit 42 заметили подозрительную активность летом 2025 года. Сначала речь шла об операции группы Stately Taurus, которая распространяла вредоносное ПО через флешки. Заражённый носитель приносил в систему программу USBFect, известную также как HIUPAN. После запуска программа устанавливала бэкдор PUBLOAD и начинала заражать другие компьютеры в сети.

Вредоносная программа отслеживала подключение съёмных накопителей и копировала себя на них, превращая обычные флешки в инструмент атаки. Через PUBLOAD злоумышленники собирали данные о системе – имя компьютера, пользователя, параметры дисков – шифровали их и отправляли на управляющий сервер. Активность продолжалась больше двух месяцев, до середины августа.

Параллельно в той же сети работали ещё две группы, которые получили обозначения CL-STA-1048 и CL-STA-1049. Их подход заметно отличался.

CL-STA-1048 действовала грубее и настойчивее. Злоумышленники перебирали разные инструменты, пытаясь обойти защиту. В ход пошли сразу несколько программ: бэкдор EggStremeFuel, троян удалённого доступа Masol, загрузчик EggStreme и шпионская программа Gorem с функцией записи нажатий клавиш. Позже добавился ещё и TrackBak – инструмент для кражи данных, который собирал историю действий пользователя, содержимое буфера обмена и файлы с дисков.

Такой набор говорит о попытке любой ценой закрепиться в системе. Некоторые инструменты пересекаются с кампаниями Crimson Palace и деятельностью группы Earth Estries, которые связывают с Китаем.

CL-STA-1049, наоборот, действовала аккуратнее. Злоумышленники использовали новый загрузчик Hypnosis, который маскировался под легитимные файлы антивируса. Через подмену библиотек они запускали вредоносный код внутри доверенного процесса и не вызывали подозрений.

Этот загрузчик устанавливал троян FluffyGh0st – модифицированную версию известного Gh0st RAT. Программа давала полный удалённый доступ к системе и могла загружать дополнительные модули с управляющего сервера. Для связи злоумышленники даже использовали скомпрометированный домен тайской компании, чтобы трафик выглядел легитимно.

Интересно, что все три группы действовали в одной сети почти одновременно. При этом инструменты и методы частично пересекаются с операциями Unfading Sea Haze и другими китайскими кампаниями. Прямой связи между кластерами нет, но совпадения слишком заметные, чтобы считать их случайными.

В итоге речь идёт не о разовой атаке, а о длительной операции с чёткой целью. Злоумышленники не пытались что-то сломать или вывести из строя. Они закреплялись в сети, собирали данные и сохраняли доступ как можно дольше.