Китайские группы кибершпионажа Murky Panda, Genesis Panda и Glacial Panda демонстрируют рост технической изощренности, смещая фокус атак на облачные среды и телекоммуникационные компании. Согласно данным CrowdStrike и Microsoft, для сбора разведывательной информации они активно используют эксплойты нулевого дня, атаки на цепочки поставок и скрытые тактики.
Группировка Murky Panda, также известная как Silk Typhoon и ранее как Hafnium, нацелена на правительственные, технологические, академические, юридические и профессиональные организации в Северной Америке. Основная цель её операций — сбор разведданных. Эта группа злоупотребляет доверительными отношениями между организациями и их облачными арендаторами, осуществляя атаки через цепочки поставок.
Тактика Murky Panda включает быструю эксплуатацию уязвимостей N-day и нулевого дня для получения первоначального доступа через общедоступные сетевые устройства. Для сокрытия своих следов хакеры компрометируют устройства SOHO (малый офис/домашний офис) в целевой стране, используя их в качестве выходных узлов. Кроме того, они проникают в сети поставщиков SaaS (программное обеспечение как услуга) для бокового перемещения к своим конечным жертвам.
Среди конкретных уязвимостей, использованных Murky Panda, — эксплойты для Microsoft Exchange Server в 2021 году, а также уязвимости в Citrix NetScaler ADC и NetScaler Gateway (CVE-2023-3519) и Commvault (CVE-2025-3928). В арсенале группы присутствуют веб-шелл neo-reGeorg для закрепления в системе и кастомный вредонос CloudedHope.
CloudedHope представляет собой 64-битный ELF-бинарный файл, написанный на языке Golang, и функционирует как базовый инструмент удаленного доступа (RAT). Он оснащен механизмами противодействия анализу и обеспечения операционной безопасности (OPSEC), такими как изменение временных меток и удаление собственных следов. В конце 2024 года Murky Panda скомпрометировала поставщика североамериканской организации, использовав его административный доступ к клиенту Entra ID жертвы. Хакеры добавили временную учетную запись в Entra ID и внедрили бэкдоры в существующие служебные принципалы, связанные с управлением Active Directory и электронной почтой, с целью получения доступа к переписке.
Другая китайская группа, Genesis Panda, активна как минимум с января 2024 года. Её основной задачей является обеспечение доступа для будущих операций по сбору разведданных, что позволяет предположить её роль как брокера первоначального доступа. Целями Genesis Panda стали компании из финансового, медиа, телекоммуникационного и технологического секторов в 11 странах.
Группа манипулирует облачными сервисами и атакует учетные записи провайдеров облачных услуг (CSP). Она постоянно запрашивает сервис метаданных экземпляра (IMDS) на облачных серверах для получения учетных данных к плоскости управления облаком. Используя эти данные, предположительно украденные с скомпрометированных виртуальных машин, хакеры углубляются в облачную инфраструктуру цели, проводя при этом ограниченную эксфильтрацию данных.
Третья группа, Glacial Panda, специализируется на сборе детализированных записей о звонках и другой телеметрии связи. Её целями являются телекоммуникационные компании в Афганистане, Гонконге, Индии, Японии, Кении, Малайзии, Мексике, Панаме, на Филиппинах, Тайване, в Таиланде и США.
Glacial Panda преимущественно атакует системы на базе Linux, включая устаревшие дистрибутивы операционных систем. Для сохранения скрытности группа активно применяет техники «жизни за счет земли» (living-off-the-land, LotL), используя легитимные системные инструменты в своих целях.
Ключевым инструментом Glacial Panda является набор троянизированных компонентов OpenSSH под кодовым названием ShieldSlide. Этот инструмент выполняет две функции: собирает сеансы аутентификации пользователей и их учетные данные, а также предоставляет бэкдор-доступ. Троянизированный бинарный файл SSH-сервера позволяет аутентифицироваться под любой учетной записью, включая root, с помощью жестко закодированного пароля.
Активность этих групп подтверждается общей статистикой. Согласно отчету CrowdStrike, за последний год количество атак со стороны государственных структур на телекоммуникационный сектор выросло на 130%.
Изображение носит иллюстративный характер
Группировка Murky Panda, также известная как Silk Typhoon и ранее как Hafnium, нацелена на правительственные, технологические, академические, юридические и профессиональные организации в Северной Америке. Основная цель её операций — сбор разведданных. Эта группа злоупотребляет доверительными отношениями между организациями и их облачными арендаторами, осуществляя атаки через цепочки поставок.
Тактика Murky Panda включает быструю эксплуатацию уязвимостей N-day и нулевого дня для получения первоначального доступа через общедоступные сетевые устройства. Для сокрытия своих следов хакеры компрометируют устройства SOHO (малый офис/домашний офис) в целевой стране, используя их в качестве выходных узлов. Кроме того, они проникают в сети поставщиков SaaS (программное обеспечение как услуга) для бокового перемещения к своим конечным жертвам.
Среди конкретных уязвимостей, использованных Murky Panda, — эксплойты для Microsoft Exchange Server в 2021 году, а также уязвимости в Citrix NetScaler ADC и NetScaler Gateway (CVE-2023-3519) и Commvault (CVE-2025-3928). В арсенале группы присутствуют веб-шелл neo-reGeorg для закрепления в системе и кастомный вредонос CloudedHope.
CloudedHope представляет собой 64-битный ELF-бинарный файл, написанный на языке Golang, и функционирует как базовый инструмент удаленного доступа (RAT). Он оснащен механизмами противодействия анализу и обеспечения операционной безопасности (OPSEC), такими как изменение временных меток и удаление собственных следов. В конце 2024 года Murky Panda скомпрометировала поставщика североамериканской организации, использовав его административный доступ к клиенту Entra ID жертвы. Хакеры добавили временную учетную запись в Entra ID и внедрили бэкдоры в существующие служебные принципалы, связанные с управлением Active Directory и электронной почтой, с целью получения доступа к переписке.
Другая китайская группа, Genesis Panda, активна как минимум с января 2024 года. Её основной задачей является обеспечение доступа для будущих операций по сбору разведданных, что позволяет предположить её роль как брокера первоначального доступа. Целями Genesis Panda стали компании из финансового, медиа, телекоммуникационного и технологического секторов в 11 странах.
Группа манипулирует облачными сервисами и атакует учетные записи провайдеров облачных услуг (CSP). Она постоянно запрашивает сервис метаданных экземпляра (IMDS) на облачных серверах для получения учетных данных к плоскости управления облаком. Используя эти данные, предположительно украденные с скомпрометированных виртуальных машин, хакеры углубляются в облачную инфраструктуру цели, проводя при этом ограниченную эксфильтрацию данных.
Третья группа, Glacial Panda, специализируется на сборе детализированных записей о звонках и другой телеметрии связи. Её целями являются телекоммуникационные компании в Афганистане, Гонконге, Индии, Японии, Кении, Малайзии, Мексике, Панаме, на Филиппинах, Тайване, в Таиланде и США.
Glacial Panda преимущественно атакует системы на базе Linux, включая устаревшие дистрибутивы операционных систем. Для сохранения скрытности группа активно применяет техники «жизни за счет земли» (living-off-the-land, LotL), используя легитимные системные инструменты в своих целях.
Ключевым инструментом Glacial Panda является набор троянизированных компонентов OpenSSH под кодовым названием ShieldSlide. Этот инструмент выполняет две функции: собирает сеансы аутентификации пользователей и их учетные данные, а также предоставляет бэкдор-доступ. Троянизированный бинарный файл SSH-сервера позволяет аутентифицироваться под любой учетной записью, включая root, с помощью жестко закодированного пароля.
Активность этих групп подтверждается общей статистикой. Согласно отчету CrowdStrike, за последний год количество атак со стороны государственных структур на телекоммуникационный сектор выросло на 130%.
