Связанная с Китаем хакерская группа UTA0388, специализирующаяся на кибершпионаже, проводит многоязычные фишинговые кампании против организаций в Северной Америке, Азии и Европе. Аналитики компании Volexity отмечают, что основной интерес злоумышленников сосредоточен на азиатских геополитических вопросах, с особым акцентом на Тайвань. Группа активно использует большие языковые модели, в частности ChatGPT от OpenAI, для создания контента и оптимизации своих вредоносных операций.
Атаки начинаются с целевых фишинговых писем, отправленных на английском, китайском, японском, французском и немецком языках. В этих письмах злоумышленники выдают себя за старших научных сотрудников и аналитиков из вымышленных организаций, названия которых звучат правдоподобно. Такие письма содержат ссылки, ведущие на удаленно размещенные архивные файлы в форматах ZIP или RAR. Для отправки сообщений используются сервисы Proton Mail, Microsoft Outlook и Gmail.
Для размещения вредоносных архивов UTA0388 злоупотребляет облачными сервисами, такими как Netlify, Sync и OneDrive. После того как жертва скачивает и открывает архив, из него извлекается вредоносная DLL-библиотека. Затем эта библиотека выполняется с помощью техники DLL side-loading (загрузка сторонних DLL), что позволяет запустить основной вредоносный имплант на системе жертвы.
Ключевым инструментом в арсенале группы является активно развивающийся бэкдор GOVERSHELL, написанный на языке Go. Он представляет собой эволюцию более раннего семейства вредоносных программ HealthKick, созданного на C++. Исследователи из компании Proofpoint отслеживают связанный с этой активностью кластер угроз под кодовым названием UNK_DropPitch.
Volexity задокументировала пять различных версий вредоносного ПО, демонстрирующих его быструю эволюцию. Первая версия, HealthKick, была замечена в апреле 2025 года и могла выполнять команды через
В начале июля 2025 года была обнаружена версия TE64. Её функционал включал сбор информации о системе, получение текущего системного времени, выполнение команд через
Последняя на данный момент версия, Beacon, была зафиксирована в сентябре 2025 года. Она позволяет устанавливать и рандомизировать базовый интервал опроса командного сервера, а также выполнять нативные и динамические команды через
Группа UTA0388 активно интегрирует искусственный интеллект в свои операции. Они используют ChatGPT для генерации контента фишинговых кампаний на английском, китайском и японском языках, а также для помощи в создании вредоносных рабочих процессов. Кроме того, злоумышленники применяли ИИ для поиска информации об установке инструментов с открытым исходным кодом, таких как сканеры уязвимостей
Доказательством использования ИИ служат полностью вымышленные личности и несогласованный контент в фишинговых письмах. Аналитики Volexity с «умеренной степенью уверенности» полагают, что для создания этого контента использовалась автоматизация, практически без контроля со стороны человека. В результате этой активности компания OpenAI заблокировала учетные записи ChatGPT, связанные с UTA0388.
В конце сентября была зафиксирована схожая кибершпионская кампания, также предположительно связанная с Китаем. По данным StrikeReady Labs, целями стали правительственный департамент Сербии, связанный с авиацией, а также учреждения в Венгрии, Бельгии, Италии и Нидерландах.
В этой атаке жертва получала фишинговое письмо со ссылкой, которая вела на поддельную страницу верификации Cloudflare CAPTCHA. Эта страница инициировала загрузку ZIP-архива, содержащего файл ярлыка Windows (.LNK). Запуск ярлыка приводил к выполнению PowerShell-скрипта, который открывал для отвлечения внимания легитимный документ, одновременно незаметно развертывая вредоносное ПО PlugX с использованием техники DLL side-loading.
Изображение носит иллюстративный характер
Атаки начинаются с целевых фишинговых писем, отправленных на английском, китайском, японском, французском и немецком языках. В этих письмах злоумышленники выдают себя за старших научных сотрудников и аналитиков из вымышленных организаций, названия которых звучат правдоподобно. Такие письма содержат ссылки, ведущие на удаленно размещенные архивные файлы в форматах ZIP или RAR. Для отправки сообщений используются сервисы Proton Mail, Microsoft Outlook и Gmail.
Для размещения вредоносных архивов UTA0388 злоупотребляет облачными сервисами, такими как Netlify, Sync и OneDrive. После того как жертва скачивает и открывает архив, из него извлекается вредоносная DLL-библиотека. Затем эта библиотека выполняется с помощью техники DLL side-loading (загрузка сторонних DLL), что позволяет запустить основной вредоносный имплант на системе жертвы.
Ключевым инструментом в арсенале группы является активно развивающийся бэкдор GOVERSHELL, написанный на языке Go. Он представляет собой эволюцию более раннего семейства вредоносных программ HealthKick, созданного на C++. Исследователи из компании Proofpoint отслеживают связанный с этой активностью кластер угроз под кодовым названием UNK_DropPitch.
Volexity задокументировала пять различных версий вредоносного ПО, демонстрирующих его быструю эволюцию. Первая версия, HealthKick, была замечена в апреле 2025 года и могла выполнять команды через
cmd.exe. Уже в июне 2025 года появилась версия TE32, которая напрямую выполняла команды через обратную оболочку PowerShell. В начале июля 2025 года была обнаружена версия TE64. Её функционал включал сбор информации о системе, получение текущего системного времени, выполнение команд через
powershell.exe и опрос внешнего сервера для получения новых инструкций. В середине июля появилась версия WebSocket, способная запускать команды PowerShell и содержащая нереализованную подкоманду для обновления. Последняя на данный момент версия, Beacon, была зафиксирована в сентябре 2025 года. Она позволяет устанавливать и рандомизировать базовый интервал опроса командного сервера, а также выполнять нативные и динамические команды через
powershell.exe. Группа UTA0388 активно интегрирует искусственный интеллект в свои операции. Они используют ChatGPT для генерации контента фишинговых кампаний на английском, китайском и японском языках, а также для помощи в создании вредоносных рабочих процессов. Кроме того, злоумышленники применяли ИИ для поиска информации об установке инструментов с открытым исходным кодом, таких как сканеры уязвимостей
nuclei и fscan. Доказательством использования ИИ служат полностью вымышленные личности и несогласованный контент в фишинговых письмах. Аналитики Volexity с «умеренной степенью уверенности» полагают, что для создания этого контента использовалась автоматизация, практически без контроля со стороны человека. В результате этой активности компания OpenAI заблокировала учетные записи ChatGPT, связанные с UTA0388.
В конце сентября была зафиксирована схожая кибершпионская кампания, также предположительно связанная с Китаем. По данным StrikeReady Labs, целями стали правительственный департамент Сербии, связанный с авиацией, а также учреждения в Венгрии, Бельгии, Италии и Нидерландах.
В этой атаке жертва получала фишинговое письмо со ссылкой, которая вела на поддельную страницу верификации Cloudflare CAPTCHA. Эта страница инициировала загрузку ZIP-архива, содержащего файл ярлыка Windows (.LNK). Запуск ярлыка приводил к выполнению PowerShell-скрипта, который открывал для отвлечения внимания легитимный документ, одновременно незаметно развертывая вредоносное ПО PlugX с использованием техники DLL side-loading.
