Державні та військові органи країн Південно-Східної Азії вже кілька років залишаються під прицілом довготривалої кібершпигунської кампанії, виявленої аналітиками Palo Alto Networks Unit 42 та позначеної кластером CL‑STA‑1087. Індекс «STA» вказує на державну мотивацію зловмисників, а активність простежується щонайменше з 2020 року, з високою ймовірністю пов’язуючись експертами з інтересами Китаю.
Цілі кібершпигунства: точкова військова розвідка замість масової крадіжки даних
На відміну від фінансово вмотивованих атак, операція CL‑STA‑1087 демонструє типову для APT-угруповань (Advanced Persistent Threat) тактику: обмежене коло ретельно відібраних жертв, тривале приховане перебування у мережі та зосередження на військово-політичній розвідці.
Основною ціллю є не тотальне викачування всіх доступних файлів, а прицільний збір відомостей про військові спроможності, структуру командування, плани навчань та взаємодію з західними союзниками. Особливий інтерес становлять матеріали щодо систем C4I (Command, Control, Communications, Computers & Intelligence) — критично важливих комплексів управління військами, зв’язку та розвідки, без яких сучасні операції фактично неможливі.
Інструменти CL‑STA‑1087: AppleChris, MemFun та Getpass
AppleChris: бекдор з DLL‑підміною та «dead drop» через Pastebin
Один з ключових інструментів операції — бекдор AppleChris, який запускається через техніку DLL hijacking, тобто підміну легітимної бібліотеки на шкідливу. Це дозволяє виконувати код у контексті довіреного процесу та значно ускладнює виявлення засобами безпеки.
Для отримання адреси сервера керування (C2) AppleChris застосовує підхід dead drop resolver: замість прямого виходу на C2 він звертається до Pastebin, де в Base64-коді зберігається актуальний домен. В окремих версіях використовується також Dropbox, при цьому Pastebin виконує роль резервного каналу. Публічні записи, задіяні у схемі, датуються не пізніше вересня 2020 року, що додатково підтверджує багаторічний характер операції.
Після встановлення з’єднання AppleChris надає повноцінний функціонал віддаленого адміністрування: перегляд файлової системи, завантаження та вивантаження файлів, видалення даних, запуск процесів, виконання командної оболонки, а в новіших модифікаціях — і розширене мережеве проксування для тунелювання трафіку.
Щоб обійти динамічний аналіз, окремі версії використовують затримку виконання (до 30 секунд для EXE та до 120 секунд для DLL). Оскільки більшість песочниць спостерігає об’єкт обмежений час, це дозволяє шкідливому коду «дочекатися», поки аналіз завершиться.
MemFun: модульна платформа з виконанням в пам’яті та anti-forensics
Другий ключовий компонент — інструмент MemFun, побудований як модульна платформа з акцентом на in-memory execution, тобто виконання в оперативній пам’яті без розміщення корисного навантаження на диску.
Завантаження MemFun відбувається у кілька етапів: початковий дроппер впроваджує шеллкод, який у пам’яті завантажує конфігурацію C2 з Pastebin, встановлює канал зв’язку й отримує DLL-модуль з функціями бекдора. Оскільки основна DLL підтягується динамічно під час виконання, зловмисники можуть змінювати модулі без перекомпіляції базового коду, перетворюючи MemFun на гнучку платформу розгортання різних шкідливих компонентів.
MemFun активно застосовує антифорензичні прийоми: дроппер підлаштовує власну часову мітку під дату створення системного каталогу Windows (timestomping), а для запуску основного коду використовує process hollowing у приостановлений процес dllhost.exe. У результаті шкідливий код виконується під виглядом легітимного системного процесу з мінімальними артефактами на диску.
Getpass: цілеспрямований збір облікових даних
Для подальшої ескалації прав і закріплення у мережі оператори CL‑STA‑1087 застосовують модифіковану версію Mimikatz, яку дослідники позначили як Getpass. Вона витягує паролі у відкритому вигляді, NTLM‑хеші та інші секрети безпосередньо з пам’яті процесу lsass.exe. За відсутності захисту LSASS це дає атакувальникам можливість швидко захоплювати адмінські облікові записи та розширювати контроль над доменною інфраструктурою.
Тактики APT: PowerShell, «сплячі» сесії та горизонтальний рух
Активність CL‑STA‑1087 була вперше зафіксована через аномальний запуск PowerShell: скрипт спочатку засинав приблизно на шість годин, а потім відкривав reverse shell на C2-сервер зловмисників. Така затримка свідчить про операційну обережність — вихід на зв’язок у моменти, коли моніторинг менш імовірний.
Початковий вектор компрометації досі не розкрито, однак після закріплення у мережі атакувальники активно здійснюють горизонтальний рух, розгортуючи AppleChris та інші компоненти на нових вузлах. Вони цілеспрямовано шукають протоколи офіційних зустрічей, документи щодо спільних навчань, оцінки боєготовності, аналітику взаємодії з військовими структурами західних країн.
Ризики для оборонного сектору та практичні кроки захисту
За даними публічних звітів про загрози, таких як Verizon DBIR та аналітика Mandiant, тривалі кібершпигунські кампанії проти урядових і оборонних структур стають нормою. Кейс CL‑STA‑1087 показує, що компрометація C4I-систем і пов’язаної інфраструктури може мати безпосередні стратегічні наслідки — від розкриття планів навчань до послаблення взаємодії з союзниками.
Для зниження ризиків доцільно впровадити комплекс технічних і організаційних заходів. Критично важливими є жорсткий контроль PowerShell та інших засобів адміністрування (AppLocker, Constrained Language Mode), розгортання сучасних EDR-рішень з поведінковим аналізом, моніторинг звернень до Pastebin, хмарних сховищ та нетипових тунелів трафіку. Окрему увагу слід приділити захисту LSASS (Microsoft Defender Credential Guard, ізоляція секретів, обмеження доступу до процесу та пам’яті).
Додатково військовим і державним установам варто регулярно проводити тести на проникнення та навчальні APT-симуляції, впроваджувати сегментацію мережі, принцип мінімально необхідних привілеїв, а також постійний моніторинг доступу до чутливих військових документів. Розгляд власної інфраструктури як постійного об’єкта інтересу державних APT-структур допоможе будувати захист проактивно, а не реактивно — і саме це сьогодні є вирішальним чинником у протидії довготривалому кібершпигунству.
