Была идентифицирована сложная китайская группа продвинутых постоянных угроз (APT), спонсируемая государством, которая проводит целенаправленную кампанию кибершпионажа против военных и государственных структур по всей Юго-Восточной Азии. Согласно подробному отчету Группы анализа угроз (TAG) Google, злоумышленники развертывают два ранее недокументированных семейства бэкдор-вредоносных программ, получивших названия «AppleChris» и «MemFun», для проникновения и поддержания постоянного доступа к конфиденциальным сетям. Эта кампания, использующая скомпрометированные веб-сайты для первоначального распространения, подчеркивает постоянное внимание китайских киберакторов к сбору стратегической разведывательной информации из соседних регионов, имеющих территориальное и геополитическое значение.
Техническое исполнение кампании демонстрирует высокую степень изощренности. Первоначальный вектор заражения включает скомпрометированные веб-сайты, связанные с религией, образованием и другими, казалось бы, безобидными темами, которые используются для размещения вредоносных нагрузок. Когда целевой пользователь посещает один из таких сайтов, стратегически размещенный iframe перенаправляет его на контролируемый злоумышленником сервер, который доставляет вредоносное ПО. Основная нагрузка, AppleChris, представляет собой многофункциональный бэкдор, написанный на C++, который предоставляет злоумышленникам полный контроль над зараженной системой. Его возможности включают выполнение произвольных shell-команд, загрузку и скачивание файлов, а также проведение разведки системы. Для скрытности он использует уникальный механизм персистентности, регистрируя себя как службу Windows со случайным, динамически генерируемым именем, что затрудняет обнаружение.
Дальнейший анализ выявил вторичную, более скрытную нагрузку под названием MemFun. Этот вредоносный код предназначен для работы полностью в памяти системы (выполнение без файлов), оставляя минимальные следы на диске зараженного хоста. MemFun загружается бэкдором AppleChris и используется для развертывания дополнительных инструментов или эксфильтрации конкретных данных. Использование этого двухэтапного модульного подхода — постоянного бэкдора на основе диска в паре с изменчивым инструментом, работающим в памяти, — демонстрирует приверженность операторов операционной безопасности и их способность адаптироваться к развивающимся методикам обнаружения. Инфраструктура и тактики, техники и процедуры (TTP), наблюдаемые в этой кампании, были связаны исследователями с известной китайской APT-группой, отслеживаемой под различными названиями, включая «Mustang Panda» и «Bronze President».
Данная кампания представляет собой явную и постоянную угрозу национальной безопасности в Юго-Восточной Азии. Нацеливание на военные организации согласуется с давними целями сбора разведывательной информации, связанными с региональными спорами, оборонными возможностями и стратегическим планированием. Для оборонных организаций и государственных учреждений этот инцидент служит критическим напоминанием о необходимости надежной сегментации сети, использования белых списков приложений и продвинутых решений для обнаружения и реагирования на конечных точках (EDR), способных выявлять атаки без файлов и в памяти. Постоянное обучение сотрудников распознаванию фишинга и избеганию посещения непроверенных веб-сайтов остается фундаментальным уровнем защиты от подобных попыток получения первоначального доступа с помощью социальной инженерии.
