Китайская компания QiAnXin раскрыла деятельность ранее неизвестной хакерской группы. Её специалисты по угрозам, RedDrip Team, представили детали на конференции CYDES 2025 в Малайзии (1-3 июля 2025), обновив отчет 10 июля 2025 года ответом Microsoft. Группа получила имя NightEagle и псевдоним APT-Q-95. Название отражает её скорость и ночную активность в Китае.
NightEagle действует с 2023 года, демонстрируя все признаки продвинутой устойчивой угрозы (APT). Её характеризуют как «быструю, точную и безжалостную». Ключевая особенность — экстремально быстрая смена сетевой инфраструктуры. Атаки происходят преимущественно в ночные часы по пекинскому времени — с 21:00 до 06:00. Анализ времени атак указывает на вероятное происхождение группы из Северной Америки.
Главные цели NightEagle — стратегические секторы Китая: правительство, оборона и высокие технологии. Группа целенаправленно собирает разведданные в отраслях: высокие технологии, полупроводники, квантовые технологии, искусственный интеллект и военная сфера. Основной вектор атак — уязвимости серверов Microsoft Exchange.
Злоумышленники используют цепочку эксплуатации zero-day. Первым признаком взлома стал обнаруженный уникальный вариант инструмента Chisel, написанного на Go. Атакующие модифицировали исходный код Chisel, хардкодили параметры исполнения, включая имя пользователя и пароль. Инструмент устанавливал SOCKS-соединение с портом 443 указанного C&C-адреса, пробрасывая его на порт C&C-хоста для проникновения в интрасеть. Для устойчивости настроена автоматическая перезагрузка задачи каждые 4 часа.
Троян доставляется через.NET-загрузчик, имплантируемый в службу Internet Information Server (IIS) на сервере Exchange. Эксплуатация zero-day позволила получить критический параметр
В ответ на отчет, Microsoft заявила 10 июля 2025 года, что расследование продолжается, но «не выявлено каких-либо новых эксплуатационных уязвимостей на сегодняшний день». Компания обязалась оперативно реагировать на новые данные.
Изображение носит иллюстративный характер
NightEagle действует с 2023 года, демонстрируя все признаки продвинутой устойчивой угрозы (APT). Её характеризуют как «быструю, точную и безжалостную». Ключевая особенность — экстремально быстрая смена сетевой инфраструктуры. Атаки происходят преимущественно в ночные часы по пекинскому времени — с 21:00 до 06:00. Анализ времени атак указывает на вероятное происхождение группы из Северной Америки.
Главные цели NightEagle — стратегические секторы Китая: правительство, оборона и высокие технологии. Группа целенаправленно собирает разведданные в отраслях: высокие технологии, полупроводники, квантовые технологии, искусственный интеллект и военная сфера. Основной вектор атак — уязвимости серверов Microsoft Exchange.
Злоумышленники используют цепочку эксплуатации zero-day. Первым признаком взлома стал обнаруженный уникальный вариант инструмента Chisel, написанного на Go. Атакующие модифицировали исходный код Chisel, хардкодили параметры исполнения, включая имя пользователя и пароль. Инструмент устанавливал SOCKS-соединение с портом 443 указанного C&C-адреса, пробрасывая его на порт C&C-хоста для проникновения в интрасеть. Для устойчивости настроена автоматическая перезагрузка задачи каждые 4 часа.
Троян доставляется через.NET-загрузчик, имплантируемый в службу Internet Information Server (IIS) на сервере Exchange. Эксплуатация zero-day позволила получить критический параметр
machineKey. Это дало несанкционированный доступ к серверу. Используя украденный machineKey, злоумышленники десериализовали сервер Exchange, внедряли троянец и получали возможность удалённо читать почтовые ящики любого пользователя на скомпрометированном сервере. В ответ на отчет, Microsoft заявила 10 июля 2025 года, что расследование продолжается, но «не выявлено каких-либо новых эксплуатационных уязвимостей на сегодняшний день». Компания обязалась оперативно реагировать на новые данные.
