Китайская кибергруппировка UNC5174, известная также как Uteus или Uetus, на протяжении года ведёт скрытую кампанию против организаций по всему миру. Эксперты связывают действия UNC5174 с интересами китайского правительства, отмечая их высокую скрытность и применение современных средств маскировки.
Основным оружием группировки стал вредоносный загрузчик SNOWLIGHT, написанный на C для Linux (ELF-формат), а также новый инструмент VShell — открытый и активно используемый в китайскоязычном киберкриминале Remote Access Trojan. VShell маскируется под приложение Cloudflare для macOS, что позволяет проникать на устройства Apple под видом легитимного программного обеспечения. В цепочке атаки фигурируют также такие инструменты, как туннелер GOHEAVY на языке Golang, публичные фреймворки управления SUPERSHELL и GOREVERSE (обратная оболочка на Golang через SSH), бинарник Sliver (system_worker) и вредонос SPAWNCHIMERA, используемый в отдельных атаках.
Аналитики отмечают, что UNC5174 активно применяет открытые инструменты для экономии ресурсов и затруднения атрибуции. Такой подход позволяет группировке сливаться с действиями не государственных хакеров и затрудняет расследования. Особое внимание уделяется fileless-атакам: вредоносные компоненты, такие как VShell, работают исключительно в памяти и не оставляют следов на диске, а для управления используется протокол WebSockets. SNOWLIGHT обеспечивает стойкость и постоянную связь с управляющими серверами, в то время как Sliver отвечает за дальнейшее распространение и закрепление в системе. Для развертывания вредоносного ПО применяется скрипт download_backd.sh.
В числе первоочередных целей атак — серверы и рабочие станции на Linux, однако SNOWLIGHT и VShell доказали свою эффективность и в среде macOS. В некоторых случаях для проникновения используются уязвимости в корпоративных решениях, таких как Ivanti Cloud Service Appliance (CSA): CVE-2024-8963, CVE-2024-9380, CVE-2024-8190. Отдельные инциденты зафиксированы на Connectwise ScreenConnect и F5 BIG-IP. Эксперты TeamT5 обращают внимание на эксплойты для новых уязвимостей Ivanti (CVE-2025-0282, CVE-2025-22457).
По данным компании Sysdig, зафиксировавшей одну из атак в январе 2025 года, UNC5174 распространяет VShell под видом Cloudflare Authenticator для macOS, инициируя загрузку через вредоносный bash-скрипт. Исследователь Sysdig Алессандра Риццо отмечает, что цепочка заражения остаётся сложной для выявления из-за использования открытых инструментов и продвинутых техник маскировки. В октябре 2024 года артефакты VShell были впервые обнаружены на VirusTotal, загруженными с территории Китая.
Согласно отчёту ANSSI (Национального агентства по безопасности информационных систем Франции) за май 2024 года, а также публикациям Google Mandiant и TeamT5, атаки UNC5174 охватили около 20 стран, среди которых Австрия, Австралия, Франция, Испания, Япония, Южная Корея, Нидерланды, Сингапур, Тайвань, ОАЭ, Великобритания и США. Жертвами становятся различные секторы, что подтверждает масштаб кампании.
В параллельных геополитических обвинениях Китай указывает на кибератаки со стороны Агентства национальной безопасности США (NSA) в ходе Азиатских зимних игр в феврале 2024 года. По данным Национального центра реагирования на компьютерные вирусы Китая (CVERC), зафиксировано 270 167 атак на информационные системы Игр из-за рубежа, включая попытки взлома инфраструктуры и компании Huawei. Представитель МИД КНР Линь Цзянь заявил: «Эти атаки грубо нарушают безопасность критической информационной инфраструктуры Китая и угрожают личным данным миллионов граждан».
Действия UNC5174, сочетающие разработку новых вредоносных программ и масштабное использование открытых инструментов, подчеркивают переход к гибридным операциям, где стираются границы между государственными и негосударственными киберугрозами. Использование SNOWLIGHT и VShell делает атаки не только скрытыми, но и чрезвычайно опасными для организаций по всему миру.
Изображение носит иллюстративный характер
Основным оружием группировки стал вредоносный загрузчик SNOWLIGHT, написанный на C для Linux (ELF-формат), а также новый инструмент VShell — открытый и активно используемый в китайскоязычном киберкриминале Remote Access Trojan. VShell маскируется под приложение Cloudflare для macOS, что позволяет проникать на устройства Apple под видом легитимного программного обеспечения. В цепочке атаки фигурируют также такие инструменты, как туннелер GOHEAVY на языке Golang, публичные фреймворки управления SUPERSHELL и GOREVERSE (обратная оболочка на Golang через SSH), бинарник Sliver (system_worker) и вредонос SPAWNCHIMERA, используемый в отдельных атаках.
Аналитики отмечают, что UNC5174 активно применяет открытые инструменты для экономии ресурсов и затруднения атрибуции. Такой подход позволяет группировке сливаться с действиями не государственных хакеров и затрудняет расследования. Особое внимание уделяется fileless-атакам: вредоносные компоненты, такие как VShell, работают исключительно в памяти и не оставляют следов на диске, а для управления используется протокол WebSockets. SNOWLIGHT обеспечивает стойкость и постоянную связь с управляющими серверами, в то время как Sliver отвечает за дальнейшее распространение и закрепление в системе. Для развертывания вредоносного ПО применяется скрипт download_backd.sh.
В числе первоочередных целей атак — серверы и рабочие станции на Linux, однако SNOWLIGHT и VShell доказали свою эффективность и в среде macOS. В некоторых случаях для проникновения используются уязвимости в корпоративных решениях, таких как Ivanti Cloud Service Appliance (CSA): CVE-2024-8963, CVE-2024-9380, CVE-2024-8190. Отдельные инциденты зафиксированы на Connectwise ScreenConnect и F5 BIG-IP. Эксперты TeamT5 обращают внимание на эксплойты для новых уязвимостей Ivanti (CVE-2025-0282, CVE-2025-22457).
По данным компании Sysdig, зафиксировавшей одну из атак в январе 2025 года, UNC5174 распространяет VShell под видом Cloudflare Authenticator для macOS, инициируя загрузку через вредоносный bash-скрипт. Исследователь Sysdig Алессандра Риццо отмечает, что цепочка заражения остаётся сложной для выявления из-за использования открытых инструментов и продвинутых техник маскировки. В октябре 2024 года артефакты VShell были впервые обнаружены на VirusTotal, загруженными с территории Китая.
Согласно отчёту ANSSI (Национального агентства по безопасности информационных систем Франции) за май 2024 года, а также публикациям Google Mandiant и TeamT5, атаки UNC5174 охватили около 20 стран, среди которых Австрия, Австралия, Франция, Испания, Япония, Южная Корея, Нидерланды, Сингапур, Тайвань, ОАЭ, Великобритания и США. Жертвами становятся различные секторы, что подтверждает масштаб кампании.
В параллельных геополитических обвинениях Китай указывает на кибератаки со стороны Агентства национальной безопасности США (NSA) в ходе Азиатских зимних игр в феврале 2024 года. По данным Национального центра реагирования на компьютерные вирусы Китая (CVERC), зафиксировано 270 167 атак на информационные системы Игр из-за рубежа, включая попытки взлома инфраструктуры и компании Huawei. Представитель МИД КНР Линь Цзянь заявил: «Эти атаки грубо нарушают безопасность критической информационной инфраструктуры Китая и угрожают личным данным миллионов граждан».
Действия UNC5174, сочетающие разработку новых вредоносных программ и масштабное использование открытых инструментов, подчеркивают переход к гибридным операциям, где стираются границы между государственными и негосударственными киберугрозами. Использование SNOWLIGHT и VShell делает атаки не только скрытыми, но и чрезвычайно опасными для организаций по всему миру.
