Китайские хакеры, связанные с государственными структурами, провели две синхронизированные кибератаки против тибетской диаспоры. Операции стартовали в прошлом месяце, непосредственно перед 90-летием Далай-ламы (6 июля 2025), используя юбилей как приманку. Исследователи Zscaler ThreatLabz Суддип Сингх и Рой Тэй зафиксировали многоступенчатые атаки, нацеленные на сбор конфиденциальных данных.
Операция GhostChat началась с компрометации легитимного сайта tibetfund[.]org. Злоумышленники подменили ссылку на страницу
Параллельно шла операция PhantomPrayers. Через домен
Gh0st RAT предоставляет злоумышленникам полный контроль: кражу файлов, скриншоты, перехват буфера обмена, запись с веб-камеры и микрофона, кейлоггинг, управление процессами и удаленный доступ к командной строке. PhantomNet фокусируется на скрытности и расширяемости через плагины, обеспечивая устойчивое присутствие в системе.
Эти атаки — часть долгосрочной стратегии китайских APT-групп, известной как "watering hole" (компрометация посещаемых жертвами сайтов). За последние два года аналогичные методы применяли группы EvilBamboo, Evasive Panda и TAG-112, неизменно выбирая целью тибетские организации для сбора разведданных. Все использованные вредоносные домены (
Изображение носит иллюстративный характер
Операция GhostChat началась с компрометации легитимного сайта tibetfund[.]org. Злоумышленники подменили ссылку на страницу
/90thbirthday, перенаправляя жертв на фишинговый домен thedalailama90.niccenter[.]net. Там предлагали скачать «безопасное» чат-приложение TElement — якобы тибетскую версию Element, размещенную на tbelement.niccenter[.]net. В действительности ПО содержало бэкдор, внедрявший троян Gh0st RAT через подгрузку вредоносной DLL. Дополнительный скрипт на странице незаметно собирал IP-адреса и данные браузеров пользователей, отправляя их через HTTP POST-запросы. Параллельно шла операция PhantomPrayers. Через домен
hhthedalailama90.niccenter[.]net распространялось приложение "Global Check-in" к юбилею (DalaiLamaCheckin.exe, кодовое имя PhantomPrayers). Оно внедряло бэкдор PhantomNet (известный также как SManager) тем же методом DLL sideloading. Этот модульный шпион использовал AES-шифрование для связи с командным сервером по TCP, мог выполнять плагины в формате DLL и поддерживал настраиваемые отложенные операции, хотя в образце эта функция была отключена. Gh0st RAT предоставляет злоумышленникам полный контроль: кражу файлов, скриншоты, перехват буфера обмена, запись с веб-камеры и микрофона, кейлоггинг, управление процессами и удаленный доступ к командной строке. PhantomNet фокусируется на скрытности и расширяемости через плагины, обеспечивая устойчивое присутствие в системе.
Эти атаки — часть долгосрочной стратегии китайских APT-групп, известной как "watering hole" (компрометация посещаемых жертвами сайтов). За последние два года аналогичные методы применяли группы EvilBamboo, Evasive Panda и TAG-112, неизменно выбирая целью тибетские организации для сбора разведданных. Все использованные вредоносные домены (
thedalailama90.niccenter[.]net, tbelement.niccenter[.]net, hhthedalailama90.niccenter[.]net) остаются активными угрозами.
