Группа UNG0002 ведет масштабную кампанию кибершпионажа против Китая, Гонконга и Пакистана. Целями стали оборонный сектор, электротехника, энергетика, гражданская авиация, научные учреждения, медицина, кибербезопасность, игровая индустрия и разработка ПО. Исследователь Subhajeet Singha из Seqrite Labs задокументировал их тактику.
Злоумышленники используют LNK-файлы, VBScript и фишинговые документы-приманки, оформленные как резюме (CV). Для постэксплуатации применяются Cobalt Strike и М⃰sploit.
Operation Cobalt Whisper (май – сентябрь 2024) началась с целевой рассылки ZIP-архивов. Внутри — LNK-файлы и VBS-скрипты, загружающие маяки Cobalt Strike. Seqrite Labs оценивает операцию как «целенаправленную атаку APT-группы для кражи конфиденциальных исследований и интеллектуальной собственности».
Operation AmberMist (январь – май 2025) стартовала с писем, содержащих LNK-файлы под видом резюме. Многоэтапная атака внедряла троянец INET RAT или загрузчик Blister DLL. В январе 2025 выявлен альтернативный сценарий: редирект на поддельный сайт Морского министерства Пакистана (MoMA).
На фальшивой странице MoMA жертв обманывали проверкой CAPTCHA (метод ClickFix), после чего запускались PowerShell-команды для доставки Shadow RAT. Этот троянец, активируемый через DLL side-loading, соединяется с C2-сервером для выполнения команд.
INET RAT идентифицирован как модификация Shadow RAT. Blister DLL действует как загрузчик shellcode, открывая путь для импланта с обратной оболочкой.
Происхождение UNG0002 не установлено, но следы указывают на Юго-Восточную Азию. Subhajeet Singha подчеркивает: "UNG0002 — технически продвинутая и настойчивая группировка из Южной Азии, последовательно атакующая азиатские юрисдикции с мая 2024". Группа адаптирует инструменты, сохраняя тактику и процедуры.
Изображение носит иллюстративный характер
Злоумышленники используют LNK-файлы, VBScript и фишинговые документы-приманки, оформленные как резюме (CV). Для постэксплуатации применяются Cobalt Strike и М⃰sploit.
Operation Cobalt Whisper (май – сентябрь 2024) началась с целевой рассылки ZIP-архивов. Внутри — LNK-файлы и VBS-скрипты, загружающие маяки Cobalt Strike. Seqrite Labs оценивает операцию как «целенаправленную атаку APT-группы для кражи конфиденциальных исследований и интеллектуальной собственности».
Operation AmberMist (январь – май 2025) стартовала с писем, содержащих LNK-файлы под видом резюме. Многоэтапная атака внедряла троянец INET RAT или загрузчик Blister DLL. В январе 2025 выявлен альтернативный сценарий: редирект на поддельный сайт Морского министерства Пакистана (MoMA).
На фальшивой странице MoMA жертв обманывали проверкой CAPTCHA (метод ClickFix), после чего запускались PowerShell-команды для доставки Shadow RAT. Этот троянец, активируемый через DLL side-loading, соединяется с C2-сервером для выполнения команд.
INET RAT идентифицирован как модификация Shadow RAT. Blister DLL действует как загрузчик shellcode, открывая путь для импланта с обратной оболочкой.
Происхождение UNG0002 не установлено, но следы указывают на Юго-Восточную Азию. Subhajeet Singha подчеркивает: "UNG0002 — технически продвинутая и настойчивая группировка из Южной Азии, последовательно атакующая азиатские юрисдикции с мая 2024". Группа адаптирует инструменты, сохраняя тактику и процедуры.
