Обычное обновление рабочей программы. Сотрудник госучреждения запускает компьютер, система подтягивает свежую версию видеоконференц-клиента. Всё штатно, никаких предупреждений. Только вместо легитимного апдейта на машину уже загружается вредоносный код, открывающий злоумышленникам полный доступ к правительственной сети. Именно так, по данным компании Check Point, была устроена кампания, получившая название TrueChaos.
Целью атаки стали государственные структуры сразу нескольких стран Юго-Восточной Азии. Вектором проникновения послужила уязвимость нулевого дня в Windows-клиенте TrueConf — популярного программного обеспечения для видеоконференцсвязи. Уязвимости присвоен идентификатор CVE-2026-3502 и оценка 7.8 по шкале CVSS, что соответствует высокой степени опасности. Суть проблемы — в отсутствии проверки целостности при загрузке обновлений. Клиент просто доверял тому, что получал от сервера, не проверяя подлинность пакета.
Схема атаки выглядит элегантно и от этого пугающе. Злоумышленники получали контроль над локальным (on-premises) сервером TrueConf внутри организации. После этого они подменяли легитимный пакет обновления на отравленную версию. Все подключённые к этому серверу рабочие станции автоматически скачивали подмену, принимая её за штатный апдейт. Один скомпрометированный сервер — и вся сеть подключённых к нему компьютеров заражена. По сути, стандартный механизм обновления превращался в канал массового распространения малвари.
На технических деталях стоит остановиться подробнее. Первым на машину жертвы попадал DLL-имплант под именем 7z-x64.dll. Он выполнял разведку, закреплялся в системе и подтягивал дополнительную полезную нагрузку. Следующим элементом цепочки был файл iscsiexe.dll, задача которого — обеспечить запуск безобидного на вид исполняемого файла poweriso.exe. Через этот легитимный бинарник с помощью техники DLL side-loading загружался уже полноценный бэкдор. Конечной целью, по оценке Check Point с высокой степенью уверенности, была установка Havoc — фреймворка для командного управления с открытым исходным кодом. На тех же заражённых машинах обнаружили и ShadowPad, сложный бэкдор, который давно и устойчиво ассоциируется с китайскими хакерскими группами.
Инфраструктура атакующих тоже указывает на определённый регион. Дополнительные вредоносные компоненты размещались на FTP-сервере с IP-адресом 47.237.15[.]197. Управляющие серверы (C2) работали на мощностях Alibaba Cloud и Tencent. Совокупность этих фактов, использование DLL side-loading, китайская облачная инфраструктура и пересечение с жертвами, на чьих системах ранее уже находили ShadowPad, позволила аналитикам Check Point с умеренной степенью уверенности атрибутировать кампанию китайской прогосударственной группировке.
Подозрения пали на группу, которую в Check Point отслеживают под именем Amaranth-Dragon. Эта группировка ранее уже использовала фреймворк Havoc против аналогичных целей. Ещё в 2025 году фиксировались её вторжения в правительственные и правоохранительные учреждения по всей Юго-Восточной Азии. Атаки с эксплуатацией CVE-2026-3502 начали регистрировать в начале 2026 года — они стали логичным развитием предыдущей активности.
Сама формулировка Check Point хорошо описывает масштаб проблемы: «Эксплуатация CVE-2026-3502 не требовала от атакующего компрометации каждого конечного устройства по отдельности. Вместо этого атакующий злоупотребил доверительными отношениями между центральным локальным сервером TrueConf и его клиентами. Подменив легитимное обновление вредоносным, они превратили штатный процесс обновления продукта в канал распространения вредоносного ПО по множеству подключённых правительственных сетей.»
Одно скомпрометированное звено — и доверие к автоматическому обновлению работает против всей организации. Это не новый тип атаки, supply chain attack через механизмы обновления хорошо известен (достаточно вспомнить историю с SolarWinds). Но здесь уязвимость была совсем базовой: клиент не проверял подлинность того, что ему присылает сервер. Никакой цифровой подписи пакета, никакой верификации.
TrueConf закрыл уязвимость в версии Windows-клиента 8.5.3, выпущенной в начале этого месяца. Сколько времени окно было открытым и сколько организаций успели пострадать, пока не раскрывается. Учитывая, что атака затрагивала правительственные сети нескольких стран региона, последствия могут оказатся весьма серьёзными. Всем организациям, использующим TrueConf, стоит не просто обновиться, а провести аудит собственных серверов на предмет возможной компрометации — одного апдейта клиента тут может быть недостаточно.
Изображение носит иллюстративный характер
Целью атаки стали государственные структуры сразу нескольких стран Юго-Восточной Азии. Вектором проникновения послужила уязвимость нулевого дня в Windows-клиенте TrueConf — популярного программного обеспечения для видеоконференцсвязи. Уязвимости присвоен идентификатор CVE-2026-3502 и оценка 7.8 по шкале CVSS, что соответствует высокой степени опасности. Суть проблемы — в отсутствии проверки целостности при загрузке обновлений. Клиент просто доверял тому, что получал от сервера, не проверяя подлинность пакета.
Схема атаки выглядит элегантно и от этого пугающе. Злоумышленники получали контроль над локальным (on-premises) сервером TrueConf внутри организации. После этого они подменяли легитимный пакет обновления на отравленную версию. Все подключённые к этому серверу рабочие станции автоматически скачивали подмену, принимая её за штатный апдейт. Один скомпрометированный сервер — и вся сеть подключённых к нему компьютеров заражена. По сути, стандартный механизм обновления превращался в канал массового распространения малвари.
На технических деталях стоит остановиться подробнее. Первым на машину жертвы попадал DLL-имплант под именем 7z-x64.dll. Он выполнял разведку, закреплялся в системе и подтягивал дополнительную полезную нагрузку. Следующим элементом цепочки был файл iscsiexe.dll, задача которого — обеспечить запуск безобидного на вид исполняемого файла poweriso.exe. Через этот легитимный бинарник с помощью техники DLL side-loading загружался уже полноценный бэкдор. Конечной целью, по оценке Check Point с высокой степенью уверенности, была установка Havoc — фреймворка для командного управления с открытым исходным кодом. На тех же заражённых машинах обнаружили и ShadowPad, сложный бэкдор, который давно и устойчиво ассоциируется с китайскими хакерскими группами.
Инфраструктура атакующих тоже указывает на определённый регион. Дополнительные вредоносные компоненты размещались на FTP-сервере с IP-адресом 47.237.15[.]197. Управляющие серверы (C2) работали на мощностях Alibaba Cloud и Tencent. Совокупность этих фактов, использование DLL side-loading, китайская облачная инфраструктура и пересечение с жертвами, на чьих системах ранее уже находили ShadowPad, позволила аналитикам Check Point с умеренной степенью уверенности атрибутировать кампанию китайской прогосударственной группировке.
Подозрения пали на группу, которую в Check Point отслеживают под именем Amaranth-Dragon. Эта группировка ранее уже использовала фреймворк Havoc против аналогичных целей. Ещё в 2025 году фиксировались её вторжения в правительственные и правоохранительные учреждения по всей Юго-Восточной Азии. Атаки с эксплуатацией CVE-2026-3502 начали регистрировать в начале 2026 года — они стали логичным развитием предыдущей активности.
Сама формулировка Check Point хорошо описывает масштаб проблемы: «Эксплуатация CVE-2026-3502 не требовала от атакующего компрометации каждого конечного устройства по отдельности. Вместо этого атакующий злоупотребил доверительными отношениями между центральным локальным сервером TrueConf и его клиентами. Подменив легитимное обновление вредоносным, они превратили штатный процесс обновления продукта в канал распространения вредоносного ПО по множеству подключённых правительственных сетей.»
Одно скомпрометированное звено — и доверие к автоматическому обновлению работает против всей организации. Это не новый тип атаки, supply chain attack через механизмы обновления хорошо известен (достаточно вспомнить историю с SolarWinds). Но здесь уязвимость была совсем базовой: клиент не проверял подлинность того, что ему присылает сервер. Никакой цифровой подписи пакета, никакой верификации.
TrueConf закрыл уязвимость в версии Windows-клиента 8.5.3, выпущенной в начале этого месяца. Сколько времени окно было открытым и сколько организаций успели пострадать, пока не раскрывается. Учитывая, что атака затрагивала правительственные сети нескольких стран региона, последствия могут оказатся весьма серьёзными. Всем организациям, использующим TrueConf, стоит не просто обновиться, а провести аудит собственных серверов на предмет возможной компрометации — одного апдейта клиента тут может быть недостаточно.
