Госструктуры и военные ведомства стран Юго‑Восточной Азии стали объектом длительной и тщательно спланированной кибершпионской кампании, которая, по данным Palo Alto Networks Unit 42, ведется как минимум с 2020 года и предположительно связана с Китаем. Исследователи обозначили эту активность как кластер CL‑STA‑1087, где «STA» указывает на государственную мотивацию атакующих.
Цели операции: точечная разведка, а не массовая кража данных
По наблюдениям Unit 42, операторы CL‑STA‑1087 демонстрируют типичное для APT‑группировок (advanced persistent threat) поведение: высокий уровень операционной дисциплины, скрытность и длительное присутствие в инфраструктуре жертвы. Ключевой особенностью кампании является прицельный сбор военной разведывательной информации, а не массовый экспорт любых доступных данных.
Злоумышленники целенаправленно искали документы, связанные с военными возможностями, структурой командования и взаимодействием с вооруженными силами западных стран. Особый интерес вызывали материалы по системам C4I (Command, Control, Communications, Computers & Intelligence) — комплексам управления войсками, связи и разведки, критически важным для современного поля боя.
Инструментарий CL‑STA‑1087: AppleChris, MemFun и Getpass
AppleChris: скрытый удаленный доступ через DLL‑подмену и Pastebin
Одним из основных инструментов кампании стала бекдор‑программа AppleChris. Она запускается через технику DLL hijacking — подмену библиотек, загружаемых легитимным приложением. Это позволяет внедрить вредоносный код в доверенный процесс и усложняет обнаружение.
AppleChris использует подход dead drop resolver: вместо прямого обращения к серверу управления (C2) он запрашивает данные на сервисе Pastebin, где в Base64‑кодировке хранится актуальный адрес C2. Одна из версий бэкдора дополнительно обращается к Dropbox для извлечения того же адреса, а Pastebin используется как резервный канал. Публичные пасты, задействованные в схеме, датируются не позднее сентября 2020 года, что свидетельствует о многолетней устойчивой операции.
После установления связи с C2 AppleChris поддерживает полный набор функций удаленного администрирования: обзор дисков и каталогов, загрузку и выгрузку файлов, удаление данных, запуск произвольных процессов, удаленное выполнение командной оболочки. Новая модификация инструмента получила усиленные возможности сетевого проксирования, что упрощает туннелирование трафика и маскировку активности.
Для обхода песочниц и автоматических систем анализа некоторые варианты AppleChris применяют задержку исполнения: таймеры сна до 30 секунд для EXE и до 120 секунд для DLL. Многие песочницы наблюдают поведение файла ограниченное время, поэтому такая тактика позволяет «пересидеть» автоматическую проверку.
MemFun: модульная платформа с исполнением в памяти
Вторая ключевая составляющая атаки — MemFun, более гибкий и модульный по сравнению с AppleChris инструмент. Его загрузка реализована в несколько этапов: первоначальный загрузчик внедряет шеллкод, который в памяти запускает скачивание конфигурации C2 с Pastebin, устанавливает соединение и запрашивает DLL‑модуль, выполняющий функции бэкдора.
Так как основная DLL подгружается динамически во время выполнения, злоумышленники могут без изменений базового кода подменять полезную нагрузку, превращая MemFun в универсальную платформу для развертывания разных модулей. Это резко усложняет статический анализ и сигнатурное обнаружение.
MemFun демонстрирует продвинутые антифорензические техники: дроппер подгоняет собственную временную метку под дату создания системного каталога Windows, а затем использует прием process hollowing, внедряя полезную нагрузку в приостановленный процесс dllhost.exe. В результате вредоносный код выполняется под видом легитимного системного процесса, почти не оставляя артефактов на диске.
Getpass: целенаправленная кража учетных данных
Для эскалации привилегий и расширения контроля над скомпрометированной сетью злоумышленники применяют модифицированную версию Mimikatz, обозначенную как Getpass. Этот инструмент извлекает пароли в открытом виде, NTLM‑хэши и иные аутентификационные данные напрямую из памяти процесса lsass.exe, что является стандартной, но крайне опасной техникой при отсутствии правильной защиты LSASS.
Тактики и операции: от PowerShell до «спящих» сессий
Обнаружить активность CL‑STA‑1087 удалось после фиксации подозрительного запуска PowerShell, где скрипт сначала засыпал на шесть часов, а затем инициировал reverse shell на контролируемый атакующими C2‑сервер. Такой подход свидетельствует о операционном терпении: злоумышленники предпочитают не торопиться и выходить на связь тогда, когда вероятность мониторинга минимальна.
Первичный вектор проникновения в сети жертв пока не раскрыт, но установлено, что после закрепления злоумышленники активно проводят горизонтальное перемещение, внедряя разные версии AppleChris на новые узлы. Поиск по файловым системам показывает фокус на протоколах официальных встреч, совместных учениях, оценках боеготовности и аналитике по взаимодействию с западными армиями.
Согласно общим трендам, которые регулярно фиксируются в публичных отчетах о киберугрозах (например, Verizon DBIR и исследованиях Mandiant), подобные длительные шпионские кампании против оборонного и государственного сектора становятся нормой, а не исключением. CL‑STA‑1087 органично вписывается в эту картину, демонстрируя высокий уровень операционной безопасности и стремление сохранить доступ на месяцы.
Риски для оборонного сектора и практические меры защиты
Для военных и государственных организаций региона этот кейс подчеркивает критичность защиты C4I‑систем и смежной ИТ‑инфраструктуры. Потеря конфиденциальности данных о структуре командования, планах учений и взаимодействии с союзниками может иметь прямые стратегические последствия.
С точки зрения практической кибербезопасности особенно актуальны следующие меры: жесткий контроль PowerShell и других средств администрирования (AppLocker, Constrained Language Mode), внедрение EDR‑решений с поведёнческим анализом, мониторинг подозрительных обращений к сервисам типа Pastebin и облачным хранилищам, а также защита LSASS (Credential Guard, изоляция секретов, ограничение доступа к процессу).
Дополнительно важно регулярно проводить тесты на проникновение и учения по моделям APT‑атак, выстраивать сегментацию сети, минимизировать права учетных записей и отслеживать аномальные паттерны доступа к чувствительным военным документам. Для оборонного сектора региона — и не только — подобные атаки становятся сигналом к пересмотру приоритетов в области киберразведки и контрразведки.
Операция CL‑STA‑1087 демонстрирует, что современный кибершпионаж — это не громкие разовые атаки, а медленная, системная и малозаметная работа по встраиванию в критические сети. Чем раньше организации начнут строить защиту, исходя из предположения о постоянном интересе со стороны государственных APT‑структур, тем выше шансы сохранить контроль над своими данными и оперативными возможностями. Имеет смысл уже сейчас пересмотреть стратегии мониторинга, реагирования на инциденты и обучения персонала, чтобы быть готовыми к подобным долгоиграющим операциям.
