Правительственная организация в одной из стран Юго‑Восточной Азии стала целью масштабной кибершпионажной операции, которую специалисты Palo Alto Networks Unit 42 охарактеризовали как «сложную и хорошо обеспеченную ресурсами». Анализ показывает, что в атаке участвовали сразу три кластера активности, связанные с Китаем, действовавшие параллельно и, вероятно, скоординированно.
Три кластера атак и их связь с Китаем
Исследователи Unit 42 выделяют три отдельных кластера угроз — Mustang Panda, CL-STA-1048 и CL-STA-1049. Несмотря на различия в инструментах и тактике, их объединяют заметные пересечения по TTPs (tactics, techniques and procedures), характерные для ранее задокументированных операций китайско-ориентированных группировок.
По данным аналитиков, угрозы нацелены не на разовые инциденты, а на создание устойчивого, долгосрочного доступа к внутренней правительственной инфраструктуре. Подобный подход типичен для кибершпионажа: злоумышленники стремятся незаметно присутствовать в сети месяцами и годами, собирая чувствительные данные и изучая структуру государственных систем.
Используемые вредоносные программы и инструменты
В рамках кампании были выявлены многочисленные семейства вредоносного ПО, в том числе HIUPAN (известен также как USBFect, MISTCLOAK или U2DiskWatch), PUBLOAD, EggStremeFuel (RawCookie), EggStremeLoader (Gorem RAT), MASOL RAT, PoshRAT, TrackBak Stealer, RawCookie, Hypnosis Loader и FluffyGh0st RAT. Такое разнообразие инструментов указывает на хороший уровень подготовки и наличие значительных ресурсов у атакующих.
Особый интерес представляют USB‑ориентированные вредоносы и механизмы маскировки под легитимные библиотеки, что делает атаки эффективными даже в средах с ограниченным доступом в интернет и строгими политиками безопасности.
Mustang Panda: атаки через USB‑носители и Claimloader
Активность группы Mustang Panda в данной кампании фиксировалась в период с 1 июня по 15 августа 2025 года. Ключевую роль в цепочке заражения сыграл вредонос HIUPAN, распространяющийся через USB‑накопители. Попадая на систему, HIUPAN использовал поддельную библиотеку Claimloader для загрузки бэкдора PUBLOAD.
По данным Unit 42, Claimloader применялся Mustang Panda как минимум с конца 2022 года в атаках на правительственные структуры Филиппин. В рассматриваемом инциденте его функциональность позволила незаметно внедрить и поддерживать управление через PUBLOAD, а также развернуть дополнительный бэкдор COOLCLIENT, приписываемый этой же группе уже более трёх лет.
COOLCLIENT обеспечивает удалённым операторам широкий набор возможностей: загрузку и выгрузку файлов, перехват нажатий клавиш (keylogging), туннелирование трафика и сбор информации о сетевой конфигурации. Такой функционал типичен для инструментов кибершпионажа и позволяет атакующим как собирать данные, так и использовать скомпрометированные хосты как опорные точки внутри сети.
Кластеры CL-STA-1048 и CL-STA-1049: шумные инструменты и FluffyGh0st RAT
Кластер CL-STA-1048, по оценке исследователей, характеризуется использованием «шумного» набора инструментов — большого количества разнообразного ПО и скриптов, усложняющих точную атрибуцию конкретных образцов. Подобная «шумность» часто служит маскировкой: на фоне множества артефактов сложнее выстроить последовательность атаки и связать её с конкретной группировкой.
Другой кластер, CL-STA-1049, задействовал новый загрузчик DLL под названием Hypnosis Loader. Он запускается посредством техники DLL side-loading, когда вредоносная библиотека подменяет легитимную и загружается доверенным приложением. Итоговая цель этого этапа — установка FluffyGh0st RAT, удалённого доступа (Remote Access Trojan), который предоставляет злоумышленникам устойчивое присутствие и контроль над системой.
Точный вектор начального проникновения для CL-STA-1048 и CL-STA-1049 пока не установлен. Однако сочетание DLL side-loading, многослойных загрузчиков и RAT-инструментов вписывается в общую картину скрытного и продолжительного проникновения в высокозащищённые сети.
Значение инцидента для кибербезопасности государственных структур
По совокупности признаков эксперты Unit 42 считают, что три кластера угроз преследовали единые стратегические цели и, вероятно, действовали в рамках согласованной операции. Набор целей (правительственная сеть), характер вредоносов и фокус на долговременном присутствии согласуются с тактикой китайско-ориентированных кибершпионских группировок, описанной в ряде публичных отчётов международных компаний по кибербезопасности.
Инцидент подчёркивает несколько ключевых тенденций:
- Рост роли USB‑атак в изолированных или частично сегментированных сетях, где интернет-доступ ограничен, но съёмные носители используются для обмена данными.
- Активное применение DLL side-loading для обхода средств защиты, полагающихся на репутацию и цифровые подписи приложений.
- Ориентация на кибершпионаж, а не на разрушительные атаки: основной упор делается на скрытность, сбор информации и контроль над инфраструктурой.
Для правительственных и критически важных организаций подобные кампании — сигнал к пересмотру моделей угроз и приоритетов защиты. Необходимо уделять больше внимания не только периметру, но и контролю внутренних каналов распространения вредоносов, включая физические носители.
Чтобы снизить риск аналогичных атак, целесообразно внедрять строгие политики работы с USB‑устройствами (whitelisting, шифрование, автоматическое сканирование), использовать EDR/XDR‑решения с поведенческим анализом, настроить мониторинг и охоту за угрозами (threat hunting), ориентированные на выявление DLL side-loading, а также регулярно проводить учебные инциденты и аудиты безопасности. Чем лучше организация понимает свои уязвимости и реальные сценарии атак, тем сложнее злоумышленникам добиться скрытого, долгосрочного доступа к её сетям.
