Китайскоязычная APT-группа CL-STA-1062 отметилась в отчётах Palo Alto Networks Unit 42 ещё в марте 2022 года, когда исследователи зафиксировали её операции против стратегических объектов Восточной Азии. С тех пор активность не стихла, а к середине 2025 года сменила географический фокус: Юго-Восточная Азия, критическая инфраструктура, государственные структуры, энергетика. За август–декабрь 2025 года подтверждены компрометации минимум десяти организаций в АСЕАН-регионе, что выводит группу в список наиболее настойчивых разведывательных субъектов современного киберландшафта.
UAT-7237 и CL-STA-1062 — одна и та же команда?
Cisco Talos в августе 2025-го описало собственный кластер атак на веб-инфраструктуру Тайваня под именем UAT-7237. Сопоставление техник, IP-адресов, характерных масок файлов быстро выявило пересечение с CL-STA-1062 исследователей Palo Alto. Две независимые команды — Unit 42 и Talos — фактически следят за одной группировкой, просто называют её по-разному. Привязка к китайскоязычному сегменту подтверждается косвенно: тайминги активности, выбор инструментов, характерный для Пекина интерес к критической инфраструктуре соседей.
Сентябрьский прорыв в Юго-Восточной Азии
В сентябре 2025 года в одной из стран Юго-Восточной Азии злоумышленники проложили маршрут к правительственному учреждению через уязвимый интернет-сервер. На точке входа — ASPX-веб-шелл, через него сначала разведка, потом эксфильтрация данных MS SQL. Параллельно атакующие прощупывали соседнюю государственную структуру в той же стране, готовя боковое перемещение. Финальным аккордом стало хищение целого каталога исходников веб-сервера — классический приём для подготовки к следующему этапу вторжения после анализа кода жертвы.
TinyRCT: маленький, но зловредный
Главная техническая находка кампании — ранее не документированный бэкдор , получивший имя TinyRCT. Изначально он поставляется в архиве chrome_setup.zip, внутри которого лежат chrome_setup.exe (безобидный декой), chrome_setup.exe.config и ключевой модуль MyAppDomainManager.dll. Последний применяет технику AppDomainManager Injection, через неё подтягивается загрузчик, обращающийся к IP 139.180.134[.]221, откуда прибывает основной модуль PerfWatson2.exe — лёгкий RAT.
TinyRCT маскируется под легитимное ПО: имена vmtools.exe, vmwared.exe, XDRAgent.exe указывают на исполняемые файлы VMware или агент XDR-решения. Исследователи Unit 42 зафиксировали шесть основных функций: выполнение произвольных команд через CMD, загрузка и выгрузка файлов, скриншоты, разведка системы, интерактивное удалённое управление, самоудаление. Весь обмен с командным сервером 45.32.113[.]172 шифруется AES-128 в режиме CBC, по умолчанию имплант выходит на связь каждые десять секунд через GET-запросы (для команд) и POST (для выгрузки данных). Если на хосте обнаруживается среда-песочница, бэкдор отказывается работать. После завершения задачи — сам себя стирает.
Гибридный арсенал
Несмотря на наличие собственного импланта, группа CL-STA-1062 не брезгует open-source. В арсенале замечены SoftEther VPN и VNT — два открытых решения, которые отлично строят туннели и помогают при боковом перемещении. Для проксирования используется SOCKS5-прокси Yuze, упакованный в RAR. Mimikatz применяется для сбора учётных данных. На начальном этапе эксплуатации — ASPX-веб-шеллы на интернет-серверах, развёрнутые после массового сканирования уязвимостей в середине 2025-го.
Хронология наступления
Март 2022 — самые ранние операции CL-STA-1062 в Восточной Азии. Август 2025 — Talos описывает UAT-7237 против тайваньских веб-структур, выявлено совпадение с CL-STA-1062. Середина 2025 (июнь-июль) — разворот кампании в Юго-Восточную Азию, на критическую инфраструктуру, начало активного сканирования и расстановки веб-шеллов. Сентябрь 2025 — крупная компрометация правительственного учреждения через эксфильтрацию MS SQL и хищение исходного кода. Октябрь–декабрь 2025 — подтверждены компрометации как минимум десяти организаций Юго-Восточной Азии.
Что в сухом остатке
CL-STA-1062 действует прагматично: опирается на легитимные открытые инструменты, которые снижают риск атрибуции и стоимость разработки, и при этом поддерживает собственный кастомный бэкдор TinyRCT под конкретные задачи. Сочетание «маленького, незаметного RAT с самоликвидацией» и интереса к критической инфраструктуре — сигнал тревожный. Группа нацелена на зоны схождения IT и OT в энергетике и госуправлении Юго-Восточной Азии, что означает попытки закрепиться там долговременно. После многолетней активности — с 2022 года и до конца 2025-го — вероятность продолжения операций в регионе остаётся высокой, а исследователи Unit 42 продолжают мониторинг закреплённых ключевых слов:
UAT-7237 и CL-STA-1062 — одна и та же команда?
Cisco Talos в августе 2025-го описало собственный кластер атак на веб-инфраструктуру Тайваня под именем UAT-7237. Сопоставление техник, IP-адресов, характерных масок файлов быстро выявило пересечение с CL-STA-1062 исследователей Palo Alto. Две независимые команды — Unit 42 и Talos — фактически следят за одной группировкой, просто называют её по-разному. Привязка к китайскоязычному сегменту подтверждается косвенно: тайминги активности, выбор инструментов, характерный для Пекина интерес к критической инфраструктуре соседей.
Сентябрьский прорыв в Юго-Восточной Азии
В сентябре 2025 года в одной из стран Юго-Восточной Азии злоумышленники проложили маршрут к правительственному учреждению через уязвимый интернет-сервер. На точке входа — ASPX-веб-шелл, через него сначала разведка, потом эксфильтрация данных MS SQL. Параллельно атакующие прощупывали соседнюю государственную структуру в той же стране, готовя боковое перемещение. Финальным аккордом стало хищение целого каталога исходников веб-сервера — классический приём для подготовки к следующему этапу вторжения после анализа кода жертвы.
TinyRCT: маленький, но зловредный
Главная техническая находка кампании — ранее не документированный бэкдор , получивший имя TinyRCT. Изначально он поставляется в архиве chrome_setup.zip, внутри которого лежат chrome_setup.exe (безобидный декой), chrome_setup.exe.config и ключевой модуль MyAppDomainManager.dll. Последний применяет технику AppDomainManager Injection, через неё подтягивается загрузчик, обращающийся к IP 139.180.134[.]221, откуда прибывает основной модуль PerfWatson2.exe — лёгкий RAT.
TinyRCT маскируется под легитимное ПО: имена vmtools.exe, vmwared.exe, XDRAgent.exe указывают на исполняемые файлы VMware или агент XDR-решения. Исследователи Unit 42 зафиксировали шесть основных функций: выполнение произвольных команд через CMD, загрузка и выгрузка файлов, скриншоты, разведка системы, интерактивное удалённое управление, самоудаление. Весь обмен с командным сервером 45.32.113[.]172 шифруется AES-128 в режиме CBC, по умолчанию имплант выходит на связь каждые десять секунд через GET-запросы (для команд) и POST (для выгрузки данных). Если на хосте обнаруживается среда-песочница, бэкдор отказывается работать. После завершения задачи — сам себя стирает.
Гибридный арсенал
Несмотря на наличие собственного импланта, группа CL-STA-1062 не брезгует open-source. В арсенале замечены SoftEther VPN и VNT — два открытых решения, которые отлично строят туннели и помогают при боковом перемещении. Для проксирования используется SOCKS5-прокси Yuze, упакованный в RAR. Mimikatz применяется для сбора учётных данных. На начальном этапе эксплуатации — ASPX-веб-шеллы на интернет-серверах, развёрнутые после массового сканирования уязвимостей в середине 2025-го.
Хронология наступления
Март 2022 — самые ранние операции CL-STA-1062 в Восточной Азии. Август 2025 — Talos описывает UAT-7237 против тайваньских веб-структур, выявлено совпадение с CL-STA-1062. Середина 2025 (июнь-июль) — разворот кампании в Юго-Восточную Азию, на критическую инфраструктуру, начало активного сканирования и расстановки веб-шеллов. Сентябрь 2025 — крупная компрометация правительственного учреждения через эксфильтрацию MS SQL и хищение исходного кода. Октябрь–декабрь 2025 — подтверждены компрометации как минимум десяти организаций Юго-Восточной Азии.
Что в сухом остатке
CL-STA-1062 действует прагматично: опирается на легитимные открытые инструменты, которые снижают риск атрибуции и стоимость разработки, и при этом поддерживает собственный кастомный бэкдор TinyRCT под конкретные задачи. Сочетание «маленького, незаметного RAT с самоликвидацией» и интереса к критической инфраструктуре — сигнал тревожный. Группа нацелена на зоны схождения IT и OT в энергетике и госуправлении Юго-Восточной Азии, что означает попытки закрепиться там долговременно. После многолетней активности — с 2022 года и до конца 2025-го — вероятность продолжения операций в регионе остаётся высокой, а исследователи Unit 42 продолжают мониторинг закреплённых ключевых слов:
45.32.113[.]172, 139.180.134[.]221, PerfWatson2.exe, MyAppDomainManager.dll, chrome_setup.zip, XDRAgent.exe, vmtools.exe, vmwared.exe.