Исследователи безопасности из Trend Micro Даниэль Лунги и Лукас Силва описали два параллельных наступления: одно направлено против государственных и военных структур, второе охотится за учётными данными журналистов и диаспорных активистов. Кампании технически независимы, однако в совокупности дают представление о масштабах китайской разведывательной активности в цифровом пространстве.
Первая кампания ведётся группой SHADOW-EARTH-053, активной как минимум с декабря 2024 года. Группа атакует государственные и оборонные структуры Пакистана, Таиланда, Малайзии, Индии, Мьянмы, Шри-Ланки, Тайваня и Польши. Польша — единственная цель из числа членов НАТО, что придаёт этой кампании отчётливое стратегическое измерение. Почти половина атакованных объектов в Малайзии, Шри-Ланке и Мьянме прежде уже была скомпрометирована группой SHADOW-EARTH-054, хотя прямой координации между двумя группами не зафиксировано.
Точкой входа SHADOW-EARTH-053 служат незакрытые уязвимости в веб-серверах Microsoft Exchange и Internet Information Services (IIS). В частности, группа эксплуатирует уязвимость CVE-2025-55182 (React2Shell), которую Google Threat Intelligence Group (GTIG) связывает с атакуемой цепочкой группы UNC6595, а также цепочку ProxyLogon. После проникновения в систему устанавливаются веб-шеллы Godzilla, обеспечивающие постоянный удалённый доступ. Бэкдор ShadowPad доставляется через AnyDesk с применением DLL-подгрузки к легитимным подписанным исполняемым файлам. Кроме того, распространяется Linux-версия Noodle RAT, известная также под именами ANGRYREBEL и Nood RAT.
Для сокрытия трафика и уклонения от обнаружения SHADOW-EARTH-053 задействует набор open-source инструментов: IOX, GO Simple Tunnel (GOST), Wstunnel и RingQ, применяемый для упаковки вредоносных бинарных файлов. Повышение привилегий осуществляется с помощью Mimikatz, а горизонтальное перемещение по сети — через кастомный RDP-лаунчер и Sharp-SMBExec, C-реализацию протокола SMBExec. Перечисленные инструменты пересекаются с арсеналом группировок CL-STA-0049, Earth Alux и REF7707, с которыми SHADOW-EARTH-053 имеет сетевые пересечения.
Для защиты Trend Micro рекомендует прежде всего установить актуальные обновления безопасности для Microsoft Exchange и IIS. Если немедленная установка патчей невозможна, рекомендуется использовать системы предотвращения вторжений (IPS) или межсетевые экраны для веб-приложений (WAF) с наборами правил, блокирующих известные CVE — так называемое виртуальное исправление.
Вторая кампания устроена иначе. Она не ломает серверы, а охотится за людьми. Две связанные между собой группы — GLITTER CARP и SEQUIN CARP — с апреля по июнь 2025 года атаковали международных журналистов и диаспорных активистов, работающих по темам, чувствительным для Пекина. Под удар попали уйгуры, тибетцы, тайваньские и гонконгские активисты, последователи Фалуньгун. Среди конкретных жертв — журналист Международного консорциума журналистов-расследователей (ICIJ) Скилла Алеччи.
GLITTER CARP, задокументированная Proofpoint в июле 2025 года под именем UNK_SparkyCarp, использует AiTM-фишинговый комплект и пиксели-трекеры размером 1x1, встроенные в письма: они указывают на серверы атакующих и фиксируют факт открытия письма, а заодно собирают данные об устройстве жертвы. Группа атаковала ICIJ, тайваньскую полупроводниковую отрасль, а также академические, политические и юридические организации в США, Европе и на Тайване.
SEQUIN CARP действует под несколькими именами: UNK_DualTone, UTA0388 (по классификации Volexity) и TAOTH (по классификации Trend Micro). В мае 2025 года эта группа атаковала несколько журналистов, работающих в США. В качестве приманок использовались поддельные предупреждения безопасности от технологических компаний, домены, имитирующие оппозиционные организации, а также фишинговые сообщения, эксплуатирующие тему парада в честь 250-летия армии США. Конечная цель — похищение учётных данных, перехват OAuth-токенов третьих сторон и создание плацдарма для дальнейшей слежки.
Связанная группа UNK_DropPitch занимается распространением вредоносной программы HealthKick. Инфраструктура кампании построена на многократном переиспользовании одних и тех же доменов и персонажей-имитаций, что Марк Келли из Proofpoint описал как характерную черту обеих группировок.
Исследователи оценивают с умеренной уверенностью, что за обеими кампаниями стоит китайское государство, делегирующее операции коммерческим подрядчикам. Именно эта модель объясняет разнообразие инструментов и тактик при единой стратегической логике: взломать правительство — через уязвимый сервер, взломать человека — через доверие.
Изображение носит иллюстративный характер
Первая кампания ведётся группой SHADOW-EARTH-053, активной как минимум с декабря 2024 года. Группа атакует государственные и оборонные структуры Пакистана, Таиланда, Малайзии, Индии, Мьянмы, Шри-Ланки, Тайваня и Польши. Польша — единственная цель из числа членов НАТО, что придаёт этой кампании отчётливое стратегическое измерение. Почти половина атакованных объектов в Малайзии, Шри-Ланке и Мьянме прежде уже была скомпрометирована группой SHADOW-EARTH-054, хотя прямой координации между двумя группами не зафиксировано.
Точкой входа SHADOW-EARTH-053 служат незакрытые уязвимости в веб-серверах Microsoft Exchange и Internet Information Services (IIS). В частности, группа эксплуатирует уязвимость CVE-2025-55182 (React2Shell), которую Google Threat Intelligence Group (GTIG) связывает с атакуемой цепочкой группы UNC6595, а также цепочку ProxyLogon. После проникновения в систему устанавливаются веб-шеллы Godzilla, обеспечивающие постоянный удалённый доступ. Бэкдор ShadowPad доставляется через AnyDesk с применением DLL-подгрузки к легитимным подписанным исполняемым файлам. Кроме того, распространяется Linux-версия Noodle RAT, известная также под именами ANGRYREBEL и Nood RAT.
Для сокрытия трафика и уклонения от обнаружения SHADOW-EARTH-053 задействует набор open-source инструментов: IOX, GO Simple Tunnel (GOST), Wstunnel и RingQ, применяемый для упаковки вредоносных бинарных файлов. Повышение привилегий осуществляется с помощью Mimikatz, а горизонтальное перемещение по сети — через кастомный RDP-лаунчер и Sharp-SMBExec, C-реализацию протокола SMBExec. Перечисленные инструменты пересекаются с арсеналом группировок CL-STA-0049, Earth Alux и REF7707, с которыми SHADOW-EARTH-053 имеет сетевые пересечения.
Для защиты Trend Micro рекомендует прежде всего установить актуальные обновления безопасности для Microsoft Exchange и IIS. Если немедленная установка патчей невозможна, рекомендуется использовать системы предотвращения вторжений (IPS) или межсетевые экраны для веб-приложений (WAF) с наборами правил, блокирующих известные CVE — так называемое виртуальное исправление.
Вторая кампания устроена иначе. Она не ломает серверы, а охотится за людьми. Две связанные между собой группы — GLITTER CARP и SEQUIN CARP — с апреля по июнь 2025 года атаковали международных журналистов и диаспорных активистов, работающих по темам, чувствительным для Пекина. Под удар попали уйгуры, тибетцы, тайваньские и гонконгские активисты, последователи Фалуньгун. Среди конкретных жертв — журналист Международного консорциума журналистов-расследователей (ICIJ) Скилла Алеччи.
GLITTER CARP, задокументированная Proofpoint в июле 2025 года под именем UNK_SparkyCarp, использует AiTM-фишинговый комплект и пиксели-трекеры размером 1x1, встроенные в письма: они указывают на серверы атакующих и фиксируют факт открытия письма, а заодно собирают данные об устройстве жертвы. Группа атаковала ICIJ, тайваньскую полупроводниковую отрасль, а также академические, политические и юридические организации в США, Европе и на Тайване.
SEQUIN CARP действует под несколькими именами: UNK_DualTone, UTA0388 (по классификации Volexity) и TAOTH (по классификации Trend Micro). В мае 2025 года эта группа атаковала несколько журналистов, работающих в США. В качестве приманок использовались поддельные предупреждения безопасности от технологических компаний, домены, имитирующие оппозиционные организации, а также фишинговые сообщения, эксплуатирующие тему парада в честь 250-летия армии США. Конечная цель — похищение учётных данных, перехват OAuth-токенов третьих сторон и создание плацдарма для дальнейшей слежки.
Связанная группа UNK_DropPitch занимается распространением вредоносной программы HealthKick. Инфраструктура кампании построена на многократном переиспользовании одних и тех же доменов и персонажей-имитаций, что Марк Келли из Proofpoint описал как характерную черту обеих группировок.
Исследователи оценивают с умеренной уверенностью, что за обеими кампаниями стоит китайское государство, делегирующее операции коммерческим подрядчикам. Именно эта модель объясняет разнообразие инструментов и тактик при единой стратегической логике: взломать правительство — через уязвимый сервер, взломать человека — через доверие.
