Тринадцать лет в тени: как китайский руткит Daxin проснулся на тайваньском заводе

Специалисты Symantec и Carbon Black наткнулись на находку, от которой у любого специалиста по безопасности похолодеет спина: руткит Daxin, впервые описанный компанией Symantec (входит в Broadcom) в марте 2022 года, снова обнаружен в живой системе — на этот раз внутри тайваньского филиала многонационального производителя высокотехнологичной продукции. Причём вместе с ним нашли ещё один инструмент, ранее нигде не фигурировавший, — бэкдор с названием Stupig.
Daxin известен давно, хотя мало кто его видел вживую. Ещё в 2013 году эту программу использовали в атаках на правительственные структуры и объекты критической инфраструктуры, но публично о ней заговорили лишь спустя девять лет. Файл называется srt64.sys, работает в режиме ядра — то есть получает контроль на самом низком уровне операционной системы, откуда его крайне трудно вычистить и ещё труднее заметить. Главная фишка Daxin не в скрытности файла, а в том, как он общается с операторами. Вместо того чтобы самому лезть наружу и подключаться к серверу управления — а именно так ведёт себя подавляющее большинство вредоносов и именно на этом их обычно ловят системы мониторинга — Daxin сидит тихо и просто слушает входящий TCP-трафик. Дождавшись определённого паттерна в уже существующем легитимном соединении, он перехватывает это соединение и превращает его в зашифрованный канал связи. Со стороны это выглядит как обычный сетевой трафик, потому что технически это и есть обычный трафик, только с чужеродной начинкой внутри.
Более того, Daxin умеет строить цепочки из заражённых машин, прыгая от хоста к хосту, и таким образом дотягиваться даже до компьютеров, физически отключённых от интернета — тех самых air-gapped систем, которые считаются золотым стандартом изоляции. В Broadcom прямо написали, что именно эта архитектура «делает Daxin исключительно трудным для обнаружения обычными средствами сетевого мониторинга». И это не преувеличение: инструмент действительно спроектирован так, чтобы обходить именно те методы защиты, которые применяются в организациях с повышенными требованиями к безопасности.
Stupig, обнаруженный рядом с Daxin, устроен совершенно иначе, но по-своему не менее изобретателен. Файл маскируется под kbdus.dll — легитимную системную библиотеку Windows, отвечающую за американскую раскладку клавиатуры, а сам себя записывает под именами a.dll или kbdus1.dll. Регистрируясь как провайдер раскладки клавиатуры, он заставляет системный компонент win32k.sys загрузить себя прямо в процесс winlogon.exe при старте системы. Чтобы не вызвать подозрений, библиотека честно возвращает корректный указатель KBDTABLES — раскладка продолжает работать как обычно, ничего не ломается, никаких ошибок пользователь не увидит.
Хитрость в другом. Stupig постоянно следит за экраном входа в Windows и ждёт, когда кто-то введёт имя пользователя, начинающееся со строки «stupig». Если после этого префикса ничего не набрано, программа тут же открывает командную строку с правами SYSTEM прямо на экране блокировки — до того, как кто-либо реально авторизовался в системе. Событие входа при этом не фиксируется в журнале аудита. Аналитики Broadcom описали это без прикрас: «Троянизированная DLL-библиотека раскладки клавиатуры, загружаемая процессом winlogon.exe, позволяет злоумышленнику выполнять команды с правами System прямо с экрана входа в Windows, до того как кто-либо авторизуется, и без создания события аудита входа».
Что особенно тревожит в этой истории — временные метки. И Daxin, и Stupig несут отметку компиляции начала 2013 года. При этом зараженная машина начала передавать телеметрию только 12 мая 2026 года. Получается, что атака могла оставаться незамеченной на протяжении примерно тринадцати лет — с 2013-го по 2026-й. Прямых совпадений в коде между двумя инструментами исследователи не нашли, но совместное развёртывание на одном хосте, взаимодополняющие функции, схожие приёмы разработки и одинаковые метки компиляции 2013 года указывают на возможную причастность одной и той же группы.
Как злоумышленники вообще попали на этот хост — до конца не ясно. Подозрение падает на устаревшую версию портала единого входа Digiwin, работавшую на давно снятых с поддержки версиях Java Development Kit 1.5 и 1.6 — эти сборки датируются 2009–2011 годами. Точный момент и способ проникновения установить не удалось.
В Symantec и Carbon Black отметили: «Прячась внутри процесса входа в Windows и регистрируясь как провайдер раскладки клавиатуры, Stupig даёт операторам возможность выполнять команды с уровнем SYSTEM и красть учётные данные ещё до того, как пользователь войдёт в систему — метод доступа, о котором большинство защитников даже не подозревают и который не отслеживают». Подтвердить, что оба инструмента развернула одна и та же команда операторов, невозможно, но их функции явно дополняют друг друга. Вывод исследователей звучит скорее тревожно, чем успокаивающе: кампания кибершпионажа, судя по всему, никогда полностью не прекращалась — она просто затихла, сохраняя скрытое присутствие в целевых сетях.
Параллельно с этой историей компания , занимающаяся анализом киберугроз, опубликовала данные о другой активности, предположительно связанной с китайскими операторами, но уже с использованием искусственного интеллекта для автоматизации атак. Речь идёт о связке из двух моделей: Anthropic Claude Code и DeepSeek, конкретно версии DeepSeek-v4-pro. Цели этой кампании — государственные и финансовые системы в Афганистане, Таиланде, на Тайване и в США.
Технически схема выглядит так: Claude Code выступает движком исполнения — он управляет агентным использованием инструментов, запускает bash-команды, поддерживает сессии и распараллеливает задачи. А DeepSeek-v4-pro играет роль рассуждающей модели: генерирует логику атаки, пишет скрипты, принимает решения о дальнейших шагах. Исследователи обнаружили открытый директорий по IP-адресу 112.213.124[.]132, чьи HTTP-заголовки полностью совпадают с отпечатками известной инфраструктуры управления TencShell.
По словам аналитиков , эти модели «отвечали за логику обхода защитных механизмов, дорабатывали эксплойты после неудачных попыток и создавали фишинговые страницы для сбора учётных данных». Отдельно исследователи подчеркнули суть происходящего: наступательная логика атаки прогоняется через китайскую доменную языковую модель, при этом злоумышленники используют агентную инфраструктуру исполнения от Anthropic. Иными словами, инструменты одной экосистемы ИИ применяются для реализации замыслов, рождённых совсем в другой.


Новое на сайте

Ссылка