С декабря 2024 года исследователи TrendAI фиксируют активность хакерской группы, которой присвоено обозначение SHADOW-EARTH-053. Группа работает в интересах Китая и специализируется на шпионаже против государственных структур и оборонных предприятий. К февралю 2026 года, когда был опубликован соответствующий отчёт в Threat Intelligence Hub, атаки охватили Пакистан, Индию, Шри-Ланку, Таиланд, Малайзию, Мьянму, Тайвань, Польшу. Польша отдельно отмечена как член НАТО, что придаёт географии кампании отчётливо геополитический характер. Параллельно действует родственная группа SHADOW-EARTH-053, которая атакует те же регионы плюс Латинскую Америку, в частности Бразилию.
Точкой входа в большинстве случаев служат уязвимые серверы Microsoft Exchange и IIS, доступные из интернета. Группа эксплуатирует цепочку ProxyLogon: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065. Несмотря на то что этим уязвимостям уже несколько лет, они по-прежнему работают там, где патчи не устанавливались своевременно. Дополнительно задействуется CVE-2025-55182 под обозначением React2Shell, хотя атрибуция этого вектора оценивается с низкой степенью уверенности. Альтернативный путь проникновения — легитимный инструмент удалённого администрирования AnyDesk.
После получения доступа группа разворачивает веб-шелл GODZILLA. Небольшое техническое отличие от классической схемы: вместо файлов с расширением
Основной имплант группы — ShadowPad, 32-битная версия без серьёзной обфускации и антиотладки, что говорит о сборке из старого билдера. Инструмент появился у APT41 в 2017 году, а с 2019-го распространился среди других китайских APT-групп. Загрузчик построен вокруг библиотеки
В декабре 2025 года зафиксированы загрузки Linux NOODLERAT в формате ELF-файлов. Этот инструмент используется одновременно шпионскими и киберпреступными группами. C&C-сервер для NOODLERAT — домен
Боковое перемещение по сети реализуется через WMIC, Sharp-SMBExec (реализация SMBExec на C) и кастомный RDP-лаунчер с именем
Сбор данных сосредоточен на почтовых ящиках руководства. PST-файлы упаковываются в защищённые паролем RAR-архивы. Для экспорта используются Exchange Management PowerShell Snap-in и собственный инструмент ExchangeExport, работающий через Exchange Web Services API. Тактика со временем стала осторожнее: изначально шумный
Связь двух групп описывается как «тип A» по модели Premier Pass-as-a-Service: независимая эксплуатация без прямой оперативной координации. SHADOW-EARTH-054 в ряде случаев приходила в целевые сети раньше SHADOW-EARTH-053 на срок до восьми месяцев. В начале 2026 года SHADOW-EARTH-054 повторно атаковала уже скомпрометированные цели. Помимо общих тактик, обе группы применяют одинаково названные загрузчики (
Со стороны защиты первоочередная задача — установить все накопленные обновления для Exchange и IIS. Если немедленный патчинг невозможен, имеет смысл развернуть IPS или WAF с правилами, блокирующими эксплуатацию упомянутых CVE. Мониторинг целостности файлов в директориях
Изображение носит иллюстративный характер
Точкой входа в большинстве случаев служат уязвимые серверы Microsoft Exchange и IIS, доступные из интернета. Группа эксплуатирует цепочку ProxyLogon: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065. Несмотря на то что этим уязвимостям уже несколько лет, они по-прежнему работают там, где патчи не устанавливались своевременно. Дополнительно задействуется CVE-2025-55182 под обозначением React2Shell, хотя атрибуция этого вектора оценивается с низкой степенью уверенности. Альтернативный путь проникновения — легитимный инструмент удалённого администрирования AnyDesk.
После получения доступа группа разворачивает веб-шелл GODZILLA. Небольшое техническое отличие от классической схемы: вместо файлов с расширением
.aspx используются .ashx-обработчики HTTP. Всё это выполняется через рабочий процесс IIS — w3wp.exe. Разведка ведётся непосредственно через веб-шеллы: запросы nltest/dclist для поиска контроллеров домена, nslookup для опроса внутренних Exchange-серверов, csvde.exe для экспорта объектов Active Directory в CSV-формат. Команда Get-DomainUser из пакета PowerView позволяет перечислять пользователей и их почтовые адреса. Для более детального картирования инфраструктуры применяется собственная утилита DomainMachines.exe весом 28 КБ: она работает через LDAP и проверяет порты 139, 445 (SMB), 80, 443, 8080, 8443 (веб), 3389 (RDP), 5985 и 5986 (WinRM), 3306 (MySQL), 1433 (MS SQL) и 88 (Kerberos). Основной имплант группы — ShadowPad, 32-битная версия без серьёзной обфускации и антиотладки, что говорит о сборке из старого билдера. Инструмент появился у APT41 в 2017 году, а с 2019-го распространился среди других китайских APT-групп. Загрузчик построен вокруг библиотеки
TosBtKbd.dll, переименованной под CIATosBtKbd.exe и замаскированной под стек Bluetooth от Toshiba. Принцип работы следующий: после вызова GetComputerNameA загрузчик извлекает шеллкод из ветки реестра HKEY_CURRENT_USER\Software\[ComputerName], значение scode, выделяет исполняемую память через VirtualAlloc с флагом PAGE_EXECUTE_READWRITE и передаёт адрес шеллкода легитимному Windows API EnumDesktopsA. Таким образом вредоносный код запускается через системный вызов, а не напрямую, что затрудняет детектирование. Для закрепления создаётся запланированная задача с именем M1onltor, запускающаяся каждые пять минут с максимальными привилегиями. Бэкдор mdync.exe соединяется с IP-адресом 141[.]164[.]46[.]77. В декабре 2025 года зафиксированы загрузки Linux NOODLERAT в формате ELF-файлов. Этот инструмент используется одновременно шпионскими и киберпреступными группами. C&C-сервер для NOODLERAT — домен
check[.]office365-update[.]com, зарегистрированный 19 ноября 2025 года. Для ShadowPad и NOODLERAT задействован IP 194[.]38[.]11[.]3 на порту 1790. Туннелирование трафика обеспечивается тремя инструментами: GOST для SOCKS5 и WebSocket, Wstunnel (переименован в wt.exe) для SOCKS5 через HTTPS, а также tunnel-core.exe (переименован в code.exe) с конфигурационным файлом client.toml. Все три утилиты взаимодействуют с IP 96[.]9[.]125[.]227 через порт 8067. Прокси-инструмент IOX получает полные административные права к удалённым подключениям, выставляя LocalAccountTokenFilterPolicy в значение 1, что открывает Pass-the-Hash атаки. IOX маскируется под explorer.exe или svchost.exe. Боковое перемещение по сети реализуется через WMIC, Sharp-SMBExec (реализация SMBExec на C) и кастомный RDP-лаунчер с именем
smss.exe. Веб-шеллы копируются через административные шары командой вида copy charcode.aspx \\[IP]\c$\inetpub\wwwroot\aspnet_client\system_web\. Для извлечения учётных данных применяется Evil-CreateDump — модифицированный вариант Microsoft create-dump.exe, заточенный под дамп LSASS. Характерная деталь: хеши этого файла совпадают у SHADOW-EARTH-053 и SHADOW-EARTH-054, что косвенно связывает группы. Также используются Mimikatz через rundll32.exe с командами sekurlsa::logonpasswords и lsadump::sam, а для DCSync-атак сбрасывается отдельный бинарь newdcsync. Для обхода антивирусов применяется RingQ — китайский опенсорсный пакер с GitHub, а легитимные системные утилиты переименовываются в псевдослучайные файлы с расширением .log: например, net.exe становится $D5PLAA1.log, PowerShell скрывается под именами $C06KCQ2.log, $VMB9AIT.log, $6T8BLJP.log. Сбор данных сосредоточен на почтовых ящиках руководства. PST-файлы упаковываются в защищённые паролем RAR-архивы. Для экспорта используются Exchange Management PowerShell Snap-in и собственный инструмент ExchangeExport, работающий через Exchange Web Services API. Тактика со временем стала осторожнее: изначально шумный
Get-Mailbox был заменён на более тихий Get-User с фильтрацией по полям userAccountControl и AccountDisabled. Связь двух групп описывается как «тип A» по модели Premier Pass-as-a-Service: независимая эксплуатация без прямой оперативной координации. SHADOW-EARTH-054 в ряде случаев приходила в целевые сети раньше SHADOW-EARTH-053 на срок до восьми месяцев. В начале 2026 года SHADOW-EARTH-054 повторно атаковала уже скомпрометированные цели. Помимо общих тактик, обе группы применяют одинаково названные загрузчики (
RuntimeBroker.exe) и используют одинаковые версии Evil-CreateDump и IOX. При этом SHADOW-EARTH-054 работает с VShell и имеет пересечения с CL-STA-0049 (Unit 42), а инструменты типа VARGEIT, FinalDraft и SQUIDOOR, характерные для CL-STA-0049, Earth Alux и REF7707, в активности SHADOW-EARTH-054 не обнаружены. Со стороны защиты первоочередная задача — установить все накопленные обновления для Exchange и IIS. Если немедленный патчинг невозможен, имеет смысл развернуть IPS или WAF с правилами, блокирующими эксплуатацию упомянутых CVE. Мониторинг целостности файлов в директориях
C:\inetpub\wwwroot и клиентских путях Exchange поможет поймать появление .aspx, .ashx или .jsp файлов с нехарактерными временными метками или высокой энтропией. Права процесса w3wp.exe стоит ограничить, неиспользуемые модули IIS отключить, добавить белый список приложений. EDR-системы нужно настроить на оповещение при порождении w3wp.exe дочерних процессов вроде cmd.exe, powershell.exe, whoami.exe или net.exe. Публично доступные каталоги — C:\Users\Public, C:\ProgramData, C:\PerfLogs, C:\Windows\Temp — требуют отдельного контроля, так как группа активно использует их для промежуточного хранения файлов. Для обнаружения веб-шеллов через TrendAI Vision One применяется запрос: eventSubId: 101 AND objectFilePath: (.aspx OR.ashx OR.jsp) AND processFilePath: \\w3wp.exe.
