Од Log4j до IIS — кинеските хакери ги претвораат старите багови во глобални алатки за шпионажа

Актер поврзан со Кина бил идентификуван како извршител на сајбер-напад насочен кон американска невладина организација со цел да воспостави долгорочна упорност, како дел од поширока активност насочена кон субјекти во САД поврзани со или вклучени во прашања на политика.

Според извештај од тимовите на Broadcom — Symantec и Carbon Black, организацијата е „активна во обидите да влијае врз политиката на владата на САД по меѓународни прашања.“ Напаѓачите успеале да добијат пристап до мрежата за неколку недели во април 2025 година.

Првиот знак на активност се појавил на 5 април 2025, кога биле детектирани масовни скенирања кон еден сервер со искористување на разни добро познати експлоити, вклучувајќи CVE-2022-26134 (Atlassian), CVE-2021-44228 (Apache Log4j), CVE-2017-9805 (Apache Struts) и CVE-2017-17562 (GoAhead Web Server).

Symantec и Carbon Black за The Hacker News изјавиле дека нема индикации дека овие обиди за експлоатација биле успешни. Се претпоставува дека напаѓачите на крајот стекнале почетен пристап преку brute-force или credential stuffing напади.

Нема понатамошни активности регистрирани до 16 април, кога напаѓачите извршиле неколку curl команди за да ја тестираат интернет конективноста, по што била извршена Windows командната алатка netstat за собирање информации за мрежната конфигурација. Потоа следувало воспоставување упорност на хостот преку закажана задача.

Задачата била дизајнирана да го изврши легитимниот Microsoft бинарен фајл „msbuild.exe“ за да покрене непознат payload, како и да создаде друга закажана задача конфигурирана да се извршува на секои 60 минути со високи привилегии како корисник SYSTEM.

Според Symantec и Carbon Black, оваа нова задача била способна да вчита и да инјектира непознат код во „csc.exe“ што на крајот воспоставило комуникација со command-and-control (C2) сервер („38.180.83[.]166“). Потоа напаѓачите биле набљудувани како извршуваат прилагоден лоадер за распакување и извршување на неспецифициран payload, најверојатно remote access trojan (RAT) во меморија.

Исто така е забележано извршување на легитимна компонента од Vipre AV („vetysafe.exe“) за да се изврши sideload на DLL лоадер („sbamres.dll“). Се вели дека оваа компонента била користена и претходно за DLL sideloading во врска со Deed RAT (познат и како Snappybee) во активности припишани на Salt Typhoon (познат и како Earth Estries), и во напади припишани на Earth Longzhi, подкластер на APT41.

„Копија од овој злонамерен DLL претходно била користена во напади поврзани со кинеските актери познати како Space Pirates,“ соопшти Broadcom. „Варијанта на оваа компонента, со различно име на фајл, исто така била користена од таа кинеска APT група Kelp (позната и како Salt Typhoon) во посебен инцидент.“

Некои од другите алатки набљудувани во целната мрежа вклучувале Dcsync и Imjpuexc. Не е јасно колку биле успешни напаѓачите во своите напори. Не е регистрирана дополнителна активност по 16 април 2025 година.

„Јасно е од активноста на оваа жртва дека напаѓачите имале за цел да воспостават упорно и прикриено присуство во мрежата, и исто така биле многу заинтересирани за таргетирање на domain контролери, што потенцијално би им овозможило проширување на многу машини во мрежата,“ изјавиле Symantec и Carbon Black.

„Споделувањето на алатки меѓу групите е долгорочен тренд меѓу кинеските актери, што ја отежнува можноста да се одреди која конкретна група стои зад еден сет активности.“

Ова објавување доаѓа откако безбедносен истражувач кој настапува под онлајн прекарот BartBlaze открил дека Salt Typhoon искористил безбедносен недостаток во WinRAR (CVE-2025-8088) за да иницира низа напади која преку sideloading на DLL покренува shellcode на компромитираниот хост. Крајниот payload е дизајниран да воспостави контакт со удадалечен сервер („mimosa.gleeze[.]com“).

Активности од други кинески хакерски групи

Според извештај од ESET, групите поврзани со Кина продолжиле да бидат активни, напаѓајќи субјекти низ Азија, Европа, Латинска Америка и САД за да ги остварат геополитичките приоритети на Пекинг. Некои од забележаните кампањи вклучуваат:

• Насочување кон енергетскиот сектор во Централна Азија од страна на актер кодно име Speccom (познат и како IndigoZebra или SMAC) во јули 2025, преку фишинг-пораки за да се достави варијанта на BLOODALCHEMY и прилагодени бекдори како kidsRAT и RustVoralix.
• Насочување кон европски организации од страна на актер кодно име DigitalRecyclers во јули 2025, користејќи необична техника за упорност што вклучувала користење на алатката за пристапност Magnifier за добивање SYSTEM привилегии.
• Насочување кон владините субјекти во Латинска Америка (Аргентина, Еквадор, Гватемала, Хондурас и Панама) меѓу јуни и септември 2025 од актер кодно име FamousSparrow, кој најверојатно искористил пропусти од типот ProxyLogon во Microsoft Exchange Server за да имплементира SparrowDoor.
• Насочување кон тајванска компанија од секторот за одбранбена авијација, американска трговска организација базирана во Кина, канцеларии на грчка владена институција во Кина и еден едурадуики орган во Еквадор меѓу мај и септември 2025 од актер кодно име SinisterEye (познат и како LuoYu и Cascade Panda) за да достави малвери како WinDealer (за Windows) и SpyDealer (за Android), користејќи напади од типот adversary-in-the-middle (AitM) за да преруши легитимни механизми за ажурирање на софтверот.
• Насочување кон една јапонска компанија и една мултинационална фирма, двете во Камбоџа, во јуни 2025 од актер кодно име PlushDaemon, преку AitM труење (poisoning) за да достави SlowStepper.

„PlushDaemon постигнува AitM позиционирање со компромитирање на мрежни уреди како рутери и со поставување на алатка која ја нарековме EdgeStepper, која ја пренасочува DNS-трафикот од таргетираната мрежа кон удадалечен DNS сервер под контрола на напаѓачот,“ изјави ESET.

„Овој сервер одговара на барањата за домени поврзани со инфраструктурата за ажурирање на софтвер со IP-адресата на веб серверот кој ја извршува присвојувањето на ажурирањето и на крајот го доставува главниот бекдор на PlushDaemon, SlowStepper.“

Кинески хакерски групи таргетираат неправилно конфигурирани IIS сервери

Во последните месеци, ловците на закани исто така забележале кинеско-говорен актер што таргетира неправилно конфигурирани IIS сервери, користејќи јавно откриени machine keys за да инсталира бекдор наречен TOLLBOOTH (познат и како HijackServer) кој доаѓа со SEO cloaking и web shell можности. „REF3927 злоупотребува јавно објавени ASP.NET machine keys за да компромитира IIS сервери и глобално да распоредува TOLLBOOTH SEO cloaking модули,“ рекоа истражувачите од Elastic Security Labs во извештај објавен кон крајот на минатиот месец. Според HarfangLab, операцијата инфицирала стотици сервери низ светот, со концентрација на инфекции во Индија и САД.

Нападите исто така се карактеризираат со обиди да се „оружја“ иницијалниот пристап со цел да се вметне Godzilla web shell, да се изврши GotoHTTP алатката за далечински пристап, да се користи Mimikatz за собирање креденцијали, и да се распредели HIDDENDRIVER — модифицирана верзија на open-source rootkit-от Hidden — за да се сокрие присуството на злонамерни payload-ови на компромитираниот систем.

Вредно е да се истакне дека овој кластер е најнов додаток на долг список кинески актери на закани, како што се GhostRedirector, Operation Rewrite и UAT-8099, кои таргетирале IIS сервери, што укажува на зголемување на ваквата активност.

„Иако злонамерните оператори изгледа ја користат кинескиот како главен јазик и ги искористуваат компромитациите за да поддржат оптимизација за пребарувачи (SEO), забележуваме дека распоредениот модул нуди упорен и неавтентициран канал кој му овозможува на кој било субјект далечинско извршување команди на погодените сервери,“ изјави француската компанија за сајбер-безбедност.

Извори:

• The Hacker News – From Log4j to IIS, China’s Hackers Turn Legacy Bugs into Global Espionage Tools The Hacker News