В 2025 году специалисты подразделения Unit 42 компании Palo Alto Networks зафиксировали необычную картину. Три отдельных кластера киберактивности, связанных с Китаем, одновременно вели операции против одной и той же правительственной структуры в Юго-Восточной Азии. Исследователи Доэль Сантос и Хироаки Хара описали происходящее как «сложную и хорошо обеспеченную ресурсами операцию». Совпадения в тактиках, техниках и процедурах (TTP) между тремя группами оказались слишком значительными, чтобы списать их на случайность.
Речь идёт о кластерах CL-STA-1048, CL-STA-1049 и хорошо известной группировке Mustang Panda. Все три были нацелены на долгосрочный шпионаж и закрепление в чувствительных правительственных сетях. Не на разрушение, не на вымогательство — на тихий, устойчивый доступ к информации. Точные векторы первоначального проникновения для CL-STA-1048 и CL-STA-1049 пока установить не удалось, что само по себе говорит о высокой квалификации атакующих.
Кластер CL-STA-1048 действовал с марта по сентябрь 2025 года. Исследователи связывают его с ранее задокументированными группами Earth Estries и Crimson Palace. Этот кластер отличается применением «шумных» инструментов — то есть средств, которые проще обнаружить, но которые дают широкий функционал. Среди его арсенала выделяется бэкдор EggStremeFuel (он же RawCookie) — легковесная программа, умеющая скачивать и загружать файлы, запускать обратную оболочку, передавать текущий глобальный IP-адрес и обновлять конфигурацию командного сервера. Но настоящий «тяжеловес» — это EggStremeLoader (Gorem RAT), который запускается через EggStremeFuel и поддерживает 59 различных команд для масштабного хищения данных. Существует его вариант, использующий Dropbox для загрузки и выгрузки файлов. В арсенале кластера также обнаружены MASOL RAT (Backdr-NQ) для выполнения произвольных команд, информационный стилер TrackBak, собирающий логи, содержимое буфера обмена, сетевую информацию и файлы с дисков, а также PoshRAT.
Кластер CL-STA-1049 был активен в апреле и августе 2025 года. Его связывают с группой Unfading Sea Haze. Методология этого кластера строится на DLL side-loading — технике, при которой легитимная программа загружает подменённую вредоносную библиотеку. Конкретно здесь применяется ранее неизвестный загрузчик Hypnosis Loader, который в итоге устанавливает троян удалённого доступа FluffyGh0st RAT. Название загрузчика, кстати, довольно точно отражает принцип работы — жертва «засыпает», а вредонос начинает действовать.
Mustang Panda — пожалуй, наиболее известный участник этой тройки. Группировка действовала с 1 июня по 15 августа 2025 года. Но её связь с целью не нова: ещё в конце 2022 года Mustang Panda атаковала правительственные организации на Филиппинах, используя вредоносную DLL-библиотеку Claimloader для доставки бэкдора PUBLOAD. В текущей кампании группировка применяла USB-распространяемый вредонос HIUPAN (он же USBFect, MISTCLOAK, U2DiskWatch), который тоже служит средством доставки PUBLOAD. Отдельно стоит упомянуть бэкдор COOLCLIENT — его приписывают Mustang Panda уже более трёх лет. Этот инструмент умеет скачивать и загружать файлы, записывать нажатия клавиш, туннелировать пакеты и перехватывать информацию о портах.
Что бросается в глаза: все три кластера работали фактически параллельно. CL-STA-1048 начал раньше всех — в марте, Mustang Panda подключилась с июня, CL-STA-1049 периодически появлялся в апреле и августе. Временное перекрытие слишком плотное, чтобы считать его совпадением. И при этом каждый кластер использовал собственный набор инструментов, собственные бэкдоры, собственную инфраструктуру.
Интересен выбор цели. Филиппины упоминаются как объект предыдущих атак Mustang Panda, и контекст Юго-Восточной Азии в целом укладывается в известный фокус китайских кибершпионских операций. Правительственные сети этого региона содержат информацию о территориальных спорах, военном сотрудничестве с западными странами, экономических переговорах — всё то, что представляет стратегический интерес.
Техническая изощренность операции впечатляет разнообразием подходов. Один кластер использует USB-носители для распространения. Другой полагается на DLL side-loading с неизвестным ранее загрузчиком. Третий бросает в бой целый арсенал из пяти разных семейств вредоносного ПО. При этом пересечения в TTP указывают либо на общие ресурсы, либо на координацию на уровне выше отдельных группировок.
Количество бэкдор-команд в EggStremeLoader — 59 штук — заслуживает отдельного внимания. Это не инструмент для разведки и не программа-разведчик. Это полноценный комплекс для глубокого проникновения в систему и систематического выноса данных. А использование Dropbox в качестве канала связи затрудняет обнаружение, потому что трафик к облачному хранилищу выглядит совершенно легитимно.
Факт того, что первоначальные векторы проникновения для двух из трёх кластеров остаются невыясненными, сам по себе тревожный сигнал. Это означает, что либо следы были тщательно зачищены, либо использовались ранее неизвестные уязвимости. Для защитников сетей такая ситуация создаёт дополнительную головную боль: невозможно закрыть дверь, если не знаешь, какую именно дверь открыли.
Изображение носит иллюстративный характер
Речь идёт о кластерах CL-STA-1048, CL-STA-1049 и хорошо известной группировке Mustang Panda. Все три были нацелены на долгосрочный шпионаж и закрепление в чувствительных правительственных сетях. Не на разрушение, не на вымогательство — на тихий, устойчивый доступ к информации. Точные векторы первоначального проникновения для CL-STA-1048 и CL-STA-1049 пока установить не удалось, что само по себе говорит о высокой квалификации атакующих.
Кластер CL-STA-1048 действовал с марта по сентябрь 2025 года. Исследователи связывают его с ранее задокументированными группами Earth Estries и Crimson Palace. Этот кластер отличается применением «шумных» инструментов — то есть средств, которые проще обнаружить, но которые дают широкий функционал. Среди его арсенала выделяется бэкдор EggStremeFuel (он же RawCookie) — легковесная программа, умеющая скачивать и загружать файлы, запускать обратную оболочку, передавать текущий глобальный IP-адрес и обновлять конфигурацию командного сервера. Но настоящий «тяжеловес» — это EggStremeLoader (Gorem RAT), который запускается через EggStremeFuel и поддерживает 59 различных команд для масштабного хищения данных. Существует его вариант, использующий Dropbox для загрузки и выгрузки файлов. В арсенале кластера также обнаружены MASOL RAT (Backdr-NQ) для выполнения произвольных команд, информационный стилер TrackBak, собирающий логи, содержимое буфера обмена, сетевую информацию и файлы с дисков, а также PoshRAT.
Кластер CL-STA-1049 был активен в апреле и августе 2025 года. Его связывают с группой Unfading Sea Haze. Методология этого кластера строится на DLL side-loading — технике, при которой легитимная программа загружает подменённую вредоносную библиотеку. Конкретно здесь применяется ранее неизвестный загрузчик Hypnosis Loader, который в итоге устанавливает троян удалённого доступа FluffyGh0st RAT. Название загрузчика, кстати, довольно точно отражает принцип работы — жертва «засыпает», а вредонос начинает действовать.
Mustang Panda — пожалуй, наиболее известный участник этой тройки. Группировка действовала с 1 июня по 15 августа 2025 года. Но её связь с целью не нова: ещё в конце 2022 года Mustang Panda атаковала правительственные организации на Филиппинах, используя вредоносную DLL-библиотеку Claimloader для доставки бэкдора PUBLOAD. В текущей кампании группировка применяла USB-распространяемый вредонос HIUPAN (он же USBFect, MISTCLOAK, U2DiskWatch), который тоже служит средством доставки PUBLOAD. Отдельно стоит упомянуть бэкдор COOLCLIENT — его приписывают Mustang Panda уже более трёх лет. Этот инструмент умеет скачивать и загружать файлы, записывать нажатия клавиш, туннелировать пакеты и перехватывать информацию о портах.
Что бросается в глаза: все три кластера работали фактически параллельно. CL-STA-1048 начал раньше всех — в марте, Mustang Panda подключилась с июня, CL-STA-1049 периодически появлялся в апреле и августе. Временное перекрытие слишком плотное, чтобы считать его совпадением. И при этом каждый кластер использовал собственный набор инструментов, собственные бэкдоры, собственную инфраструктуру.
Интересен выбор цели. Филиппины упоминаются как объект предыдущих атак Mustang Panda, и контекст Юго-Восточной Азии в целом укладывается в известный фокус китайских кибершпионских операций. Правительственные сети этого региона содержат информацию о территориальных спорах, военном сотрудничестве с западными странами, экономических переговорах — всё то, что представляет стратегический интерес.
Техническая изощренность операции впечатляет разнообразием подходов. Один кластер использует USB-носители для распространения. Другой полагается на DLL side-loading с неизвестным ранее загрузчиком. Третий бросает в бой целый арсенал из пяти разных семейств вредоносного ПО. При этом пересечения в TTP указывают либо на общие ресурсы, либо на координацию на уровне выше отдельных группировок.
Количество бэкдор-команд в EggStremeLoader — 59 штук — заслуживает отдельного внимания. Это не инструмент для разведки и не программа-разведчик. Это полноценный комплекс для глубокого проникновения в систему и систематического выноса данных. А использование Dropbox в качестве канала связи затрудняет обнаружение, потому что трафик к облачному хранилищу выглядит совершенно легитимно.
Факт того, что первоначальные векторы проникновения для двух из трёх кластеров остаются невыясненными, сам по себе тревожный сигнал. Это означает, что либо следы были тщательно зачищены, либо использовались ранее неизвестные уязвимости. Для защитников сетей такая ситуация создаёт дополнительную головную боль: невозможно закрыть дверь, если не знаешь, какую именно дверь открыли.
