В течение июля и августа 2025 года китайская государственная хакерская группировка TA415 провела серию кибершпионских атак, нацеленных на американские правительственные учреждения, аналитические центры и специалистов по американо-китайским экономическим отношениям. Основной целью кампании был сбор разведывательной информации на фоне продолжающихся торговых переговоров между США и Китаем.
Для проникновения в системы злоумышленники использовали фишинговые рассылки, в которых выдавали себя за высокопоставленных американских политиков и деловые организации. В частности, были зафиксированы случаи подделки писем от имени Джона Роберта Моленара, конгрессмена от Республиканской партии, а также от председателя Специального комитета по стратегическому соперничеству между США и Коммунистической партией Китая.
Одним из примеров социальной инженерии стало письмо, отправленное якобы от имени Американо-китайского делового совета. В нем содержалось приглашение на закрытый брифинг, посвященный американо-тайваньским и американо-китайским отношениям. На фоне этих атак Специальный комитет Палаты представителей США по Китаю выпустил официальное предупреждение о продолжающихся кибершпионских кампаниях.
Атака начиналась с получения жертвой письма, для сокрытия источника которого использовался VPN-сервис Cloudflare WARP. Письмо содержало ссылку на запароленный архив, размещенный в публичных облачных хранилищах, таких как Zoho WorkDrive, Dropbox или OpenDrive. Внутри архива находился ярлык Windows (файл с расширением.LNK) и скрытая папка с дополнительными файлами.
После того как пользователь открывал LNK-файл, запускался пакетный скрипт из скрытой папки. Чтобы отвлечь внимание, на экране жертвы отображался безобидный PDF-документ. В это время в фоновом режиме скрипт активировал замаскированный загрузчик, написанный на языке Python и получивший название WhirlCoil. В более ранних версиях атаки этот загрузчик скачивался с сайтов вроде Pastebin.
Для обеспечения постоянного присутствия в скомпрометированной системе скрипт создавал запланированную задачу, которая запускала загрузчик WhirlCoil каждые два часа. Задаче присваивались имена, маскирующиеся под системные процессы, например GoogleUpdate или MicrosoftHealthcareMonitorNode. Если у пользователя были права администратора, задача выполнялась с наивысшими системными привилегиями (SYSTEM).
Ключевой особенностью этой кампании стало использование загрузчиком WhirlCoil удаленных туннелей Visual Studio Code (VS Code Remote Tunnels) для создания постоянного бэкдора. После активации вредоносная программа начинала собирать системную информацию и содержимое пользовательских каталогов.
Собранные данные вместе с кодом верификации для удаленного туннеля VS Code упаковывались в единый блок, кодировались в формат base64 и отправлялись методом HTTP POST на бесплатный сервис для логирования запросов, такой как requestrepo[.]com.
Получив код верификации, злоумышленники могли аутентифицироваться в удаленном туннеле VS Code. Это давало им полный удаленный доступ к файловой системе зараженной машины и возможность выполнять произвольные команды через встроенный терминал Visual Studio, фактически устанавливая полный контроль над устройством.
По данным компании по кибербезопасности Proofpoint, выявившей эту кампанию, деятельность группировки TA415 пересекается с активностью других кластеров, известных как APT41 и Brass Typhoon (ранее Barium), что подтверждает ее связь с государственными структурами Китая.
Изображение носит иллюстративный характер
Для проникновения в системы злоумышленники использовали фишинговые рассылки, в которых выдавали себя за высокопоставленных американских политиков и деловые организации. В частности, были зафиксированы случаи подделки писем от имени Джона Роберта Моленара, конгрессмена от Республиканской партии, а также от председателя Специального комитета по стратегическому соперничеству между США и Коммунистической партией Китая.
Одним из примеров социальной инженерии стало письмо, отправленное якобы от имени Американо-китайского делового совета. В нем содержалось приглашение на закрытый брифинг, посвященный американо-тайваньским и американо-китайским отношениям. На фоне этих атак Специальный комитет Палаты представителей США по Китаю выпустил официальное предупреждение о продолжающихся кибершпионских кампаниях.
Атака начиналась с получения жертвой письма, для сокрытия источника которого использовался VPN-сервис Cloudflare WARP. Письмо содержало ссылку на запароленный архив, размещенный в публичных облачных хранилищах, таких как Zoho WorkDrive, Dropbox или OpenDrive. Внутри архива находился ярлык Windows (файл с расширением.LNK) и скрытая папка с дополнительными файлами.
После того как пользователь открывал LNK-файл, запускался пакетный скрипт из скрытой папки. Чтобы отвлечь внимание, на экране жертвы отображался безобидный PDF-документ. В это время в фоновом режиме скрипт активировал замаскированный загрузчик, написанный на языке Python и получивший название WhirlCoil. В более ранних версиях атаки этот загрузчик скачивался с сайтов вроде Pastebin.
Для обеспечения постоянного присутствия в скомпрометированной системе скрипт создавал запланированную задачу, которая запускала загрузчик WhirlCoil каждые два часа. Задаче присваивались имена, маскирующиеся под системные процессы, например GoogleUpdate или MicrosoftHealthcareMonitorNode. Если у пользователя были права администратора, задача выполнялась с наивысшими системными привилегиями (SYSTEM).
Ключевой особенностью этой кампании стало использование загрузчиком WhirlCoil удаленных туннелей Visual Studio Code (VS Code Remote Tunnels) для создания постоянного бэкдора. После активации вредоносная программа начинала собирать системную информацию и содержимое пользовательских каталогов.
Собранные данные вместе с кодом верификации для удаленного туннеля VS Code упаковывались в единый блок, кодировались в формат base64 и отправлялись методом HTTP POST на бесплатный сервис для логирования запросов, такой как requestrepo[.]com.
Получив код верификации, злоумышленники могли аутентифицироваться в удаленном туннеле VS Code. Это давало им полный удаленный доступ к файловой системе зараженной машины и возможность выполнять произвольные команды через встроенный терминал Visual Studio, фактически устанавливая полный контроль над устройством.
По данным компании по кибербезопасности Proofpoint, выявившей эту кампанию, деятельность группировки TA415 пересекается с активностью других кластеров, известных как APT41 и Brass Typhoon (ранее Barium), что подтверждает ее связь с государственными структурами Китая.
