В марте 2025 года группа Google Threat Intelligence Group (GTIG) выявила сложную кибератаку, нацеленную на дипломатов в Юго-Восточной Азии и других регионах мира. Ответственность за кампанию несет хакерская группировка UNC6384, связанная с китайской кибершпионской группой Mustang Panda. Эта группа, также известная под псевдонимами BASIN, Bronze President, Camaro Dragon и RedDelta, демонстрирует постоянное совершенствование своих методов для продвижения стратегических интересов Пекина.
Атака начинается с перехвата сетевого трафика в момент, когда устройство жертвы пытается подключиться к Wi-Fi сети с гостевым доступом (captive portal). Браузер автоматически отправляет запрос на стандартный URL
Вместо легитимной страницы авторизации Wi-Fi, браузер жертвы перенаправляется на вредоносный сайт, контролируемый злоумышленниками. Этот сайт имитирует страницу загрузки обновления для Adobe Plugin и использует HTTPS-соединение с действительным TLS-сертификатом, выданным центром Let's Encrypt, чтобы выглядеть надежным. Обманутый пользователь скачивает вредоносный файл
Загруженный файл
По данным исследователя Патрика Уайтселла из GTIG, использование сертификатов, связанных с Chengdu Nuoxin Times Technology Co., Ltd., не является единичным случаем. С января 2023 года было зафиксировано более двух десятков образцов вредоносного ПО, подписанных сертификатами этой компании и использовавшихся различными китайскими хакерскими группами.
После запуска STATICPLUGIN подключается к тому же серверу
Далее злоумышленники применяют технику атаки с использованием сторонней загрузки DLL (DLL side-loading). Когда легитимное приложение Canon запускается, оно загружает вредоносную библиотеку
На финальном этапе загрузчик CANONSTAGER разворачивает основную полезную нагрузку — бэкдор PlugX — непосредственно в оперативной памяти компьютера. Такой метод позволяет избежать обнаружения антивирусными системами, сканирующими файлы на диске. Использованный вариант бэкдора идентифицирован как SOGU.SEC.
PlugX, также известный как Korplug или SOGU, является мощным шпионским инструментом, существующим как минимум с 2008 года. Он предоставляет атакующим полный контроль над зараженной системой, включая возможность кражи файлов, записи нажатий клавиш, запуска удаленной командной оболочки, а также загрузки и выгрузки файлов. Функционал бэкдора может расширяться с помощью дополнительных плагинов. Считается, что преемником PlugX является более современный инструмент ShadowPad.
Изображение носит иллюстративный характер
Атака начинается с перехвата сетевого трафика в момент, когда устройство жертвы пытается подключиться к Wi-Fi сети с гостевым доступом (captive portal). Браузер автоматически отправляет запрос на стандартный URL
www.gstatic[.]com/generate_204, чтобы проверить наличие страницы входа. На этом этапе UNC6384 проводит атаку «человек посередине» (AitM), предположительно через скомпрометированные сетевые устройства, и перехватывает этот запрос. Вместо легитимной страницы авторизации Wi-Fi, браузер жертвы перенаправляется на вредоносный сайт, контролируемый злоумышленниками. Этот сайт имитирует страницу загрузки обновления для Adobe Plugin и использует HTTPS-соединение с действительным TLS-сертификатом, выданным центром Let's Encrypt, чтобы выглядеть надежным. Обманутый пользователь скачивает вредоносный файл
AdobePlugins.exe с домена mediareleaseupdates[.]com. Загруженный файл
AdobePlugins.exe является загрузчиком, получившим название STATICPLUGIN. Ключевой элемент обмана заключается в том, что этот исполняемый файл подписан действительным цифровым сертификатом, выданным компанией GlobalSign на имя Chengdu Nuoxin Times Technology Co., Ltd. Это позволяет вредоносному ПО обходить базовые проверки безопасности операционной системы и антивирусных программ. По данным исследователя Патрика Уайтселла из GTIG, использование сертификатов, связанных с Chengdu Nuoxin Times Technology Co., Ltd., не является единичным случаем. С января 2023 года было зафиксировано более двух десятков образцов вредоносного ПО, подписанных сертификатами этой компании и использовавшихся различными китайскими хакерскими группами.
После запуска STATICPLUGIN подключается к тому же серверу
mediareleaseupdates[.]com и загружает вредоносный MSI-пакет. Этот пакет устанавливает на компьютер жертвы два компонента: легитимную утилиту Canon IJ Printer Assistant Tool (cnmpaui.exe) и вредоносную библиотеку с тем же именем cnmpaui.dll. Эта библиотека является следующей ступенью атаки и носит название CANONSTAGER. Далее злоумышленники применяют технику атаки с использованием сторонней загрузки DLL (DLL side-loading). Когда легитимное приложение Canon запускается, оно загружает вредоносную библиотеку
cnmpaui.dll вместо подлинной, так как она находится в той же директории. Это позволяет замаскировать запуск вредоносного кода под действием доверенной программы. На финальном этапе загрузчик CANONSTAGER разворачивает основную полезную нагрузку — бэкдор PlugX — непосредственно в оперативной памяти компьютера. Такой метод позволяет избежать обнаружения антивирусными системами, сканирующими файлы на диске. Использованный вариант бэкдора идентифицирован как SOGU.SEC.
PlugX, также известный как Korplug или SOGU, является мощным шпионским инструментом, существующим как минимум с 2008 года. Он предоставляет атакующим полный контроль над зараженной системой, включая возможность кражи файлов, записи нажатий клавиш, запуска удаленной командной оболочки, а также загрузки и выгрузки файлов. Функционал бэкдора может расширяться с помощью дополнительных плагинов. Считается, что преемником PlugX является более современный инструмент ShadowPad.
