Исследователи зафиксировали новую китайско-ориентированную шпионскую активность SHADOW-EARTH-053, нацеленную на правительственные и оборонные структуры в Южной, Восточной и Юго-Восточной Азии, а также на одну страну НАТО (Польшу), с опорой на эксплуатацию уязвимых Microsoft Exchange и IIS и установку бэкдора ShadowPad; параллельно другие кластеры, GLITTER CARP и SEQUIN CARP, ведут фишинговые операции против журналистов и активистов, что в сумме требует от организаций немедленного усиления патч-менеджмента интернет‑порталов и жёсткого контроля доступа к почтовым и облачным аккаунтам.
Технические детали: от уязвимых IIS к ShadowPad и Noodle RAT
Цепочка атаки SHADOW-EARTH-053
Кластер SHADOW-EARTH-053, по наблюдениям Trend Micro, активен как минимум с декабря 2024 года и использует типичный для зрелых шпионских операций сценарий: сочетание эксплуатации уже известных уязвимостей (N-day) и продуманной постэксплуатации.
Ключевые элементы цепочки:
- Первичный доступ: эксплуатация известных уязвимостей в интернет‑доступных приложениях на Microsoft IIS и в Microsoft Exchange, в том числе цепочек типа ProxyLogon. Это даёт прямое выполнение кода в контексте сервера приложений.
- Закрепление через web shell: на скомпрометированные серверы разворачивается web shell Godzilla, что соответствует технике MITRE ATT&CK Web Shell. Такой оболочке достаточно стандартного HTTP/HTTPS‑трафика, поэтому её непросто отфильтровать на периметре.
- Разведка и подготовка: через web shell выполняются команды для инвентаризации системы и сети, подготавливая почву к установке более сложных средств удалённого управления.
- Установка ShadowPad: финальная стадия — развёртывание модулярного бэкдора ShadowPad посредством загрузки DLL боковым способом (DLL side-loading) через легитимный подписанный исполняемый файл, включая AnyDesk. Этот приём соответствует технике MITRE ATT&CK DLL Side-Loading и существенно снижает шансы обнаружения за счёт доверенной подписи и привычного поведения процесса.
Отдельный эпизод кампании демонстрирует гибкость инструментов: для эксплуатации Linux‑сред был задействован эксплойт React2Shell для уязвимости CVE-2025-55182, что позволило развернуть Linux‑вариант Noodle RAT (также известного как ANGRYREBEL и Nood RAT). Подробности по самой уязвимости доступны в базе NVD: NVD: CVE-2025-55182.
Инструменты постэксплуатации и скрытности
После закрепления SHADOW-EARTH-053 переходит к вертикальному и горизонтальному развитию компрометации:
- Туннелирование и обход периметра: используются открытые средства туннелирования IOX, GO Simple Tunnel (GOST) и Wstunnel, позволяющие инкапсулировать трафик управления в привычные протоколы (обычно HTTPS или WebSocket) и обходить сетевые ограничения.
- Упаковка бинарных файлов: для усложнения статического анализа и сигнатурного детектирования применяется упаковщик RingQ, что затрудняет выявление бэкдоров на уровне файлового сканирования.
- Повышение привилегий: используется Mimikatz для извлечения учётных данных, что соответствует технике MITRE ATT&CK Credential Dumping. Компрометация доменных учётных записей превращает единичный серверный инцидент в доменный кризис.
- Боковое движение: применяется собственный лаунчер для протокола RDP и C#‑реализация инструмента SMBExec под названием Sharp-SMBExec, что укладывается в техники семейства Lateral Movement over SMB.
Отдельных IOC (IP‑адресов, доменов, хешей) в описании кампании не приводится, что подчёркивает: полагаться исключительно на статические индикаторы в этом случае неэффективно, акцент надо смещать на поведенческий и лог‑ориентированный мониторинг.
GLITTER CARP и SEQUIN CARP: фишинг как инструмент транснационального давления
Исследование Citizen Lab описывает две другие китайско-ориентированные фишинговые активности — GLITTER CARP и SEQUIN CARP, направленные против журналистов, международных медиа и активистов из уйгурской, тибетской, тайваньской и гонконгской диаспор. Эти операции не используют сложных эксплойтов, но опираются на высокоуровневую социальную инженерию и повторное использование инфраструктуры.
Ключевые особенности:
- Точная имитация личности: злоумышленники подделывают письма от реальных журналистов, коллег по отрасли и даже от лица крупных технологических компаний (например, уведомления безопасности), создавая доверительный контекст.
- Механизмы доступа:
- перехват учётных данных на фишинговых страницах;
- социальная инженерия, убеждающая жертву выдать права на доступ к аккаунту через сторонний OAuth-токен;
- использование комплекта для фишинга по модели adversary-in-the-middle (AiTM), позволяющего перехватывать сессионные токены даже при наличии многофакторной аутентификации.
- Трекинг открытия писем: в кампаниях GLITTER CARP используются однопиксельные изображения (1×1) с загрузкой с домена злоумышленников для сбора информации об устройстве и факте прочтения письма.
GLITTER CARP также связывают с фишинговыми атаками на тайваньскую полупроводниковую отрасль (под именем UNK_SparkyCarp в исследовании Proofpoint), а SEQUIN CARP проявляет схожесть с группой UTA0388 (Volexity) и набором TAOTH (Trend Micro). Citizen Lab подчёркивает наличие пересечений инфраструктуры и техник между несколькими кластерами, что говорит о распределённой сети подрядчиков, обслуживающих интересы государства.
Контекст угроз и экосистема подрядчиков
SHADOW-EARTH-053 демонстрирует сетевое пересечение с другими китайскими кластерами, отслеживаемыми как CL-STA-0049, Earth Alux и REF7707, а использование React2Shell и Noodle RAT связывается Google Threat Intelligence Group с группой UNC6595. При этом прямой оперативной координации между SHADOW-EARTH-053 и близким ему кластером SHADOW-EARTH-054 Trend Micro не наблюдает, хотя почти половина целей пересекается.
С другой стороны, Citizen Lab в отношении GLITTER CARP и SEQUIN CARP указывает на модель «распределённого аутсорсинга»: разные подрядчики ведут как классические шпионские операции, так и кампании цифрового давления против диаспор и гражданского общества, причём цели чётко соотносятся с приоритетами китайских спецслужб. Такой подход затрудняет надёжную атрибуцию: инфраструктура и инструменты могут мигрировать между группами, а отдельные разработчики и операторы участвуют в нескольких проектах одновременно.
Оценка воздействия
Наибольшему риску подвержены:
- Правительственные и оборонные структуры в Пакистане, Таиланде, Малайзии, Индии, Мьянме, Шри‑Ланке, Тайване и Польше, которые используют Exchange и IIS с доступом из интернета и не имеют устойчивого процесса оперативного патч‑менеджмента.
- Организации гражданского общества и медиа, особенно работающие с темами, чувствительными для правительства Китая (коррупция, права меньшинств, геополитика Тайваня и Гонконга).
Потенциальные последствия бездействия:
- Длительная скрытая компрометация инфраструктуры с помощью ShadowPad и Noodle RAT, утечка переписки, документов, планов закупок и военных или внешнеполитических сценариев.
- Компрометация доменной среды через Mimikatz и боковое движение с последующей полной потерей доверия к среде Active Directory и необходимости дорогостоящей реимплементации.
- Давление на журналистов и активистов через перехват почты и внутренних материалов, возможные кампании дискредитации или выборочные «сливы» в удобном для атакующей стороны контексте.
Практические рекомендации по защите
Для владельцев Exchange/IIS и серверной инфраструктуры
- Немедленно актуализировать патчи:
- установить последние кумулятивные обновления Microsoft Exchange и всех приложений на IIS;
- проверить наличие исправлений для CVE-2025-55182 на Linux‑системах, где развёрнуты затронутые компоненты (NVD: CVE-2025-55182).
- Применить виртуальное патчевание, если обновления невозможно установить быстро:
- Провести охоту за web shell:
- проверить каталоги виртуальных директорий IIS и OWA/Exchange на наличие неизвестных ASPX, JSP и других скриптов;
- проанализировать логи IIS на предмет аномальных запросов к малоизвестным скриптам и длинным зашифрованным параметрам, характерным для Godzilla.
- Обнаружение DLL side-loading и необычных инструментов:
- мониторить запуск AnyDesk и других подписанных исполняемых файлов с нестандартных путей и с загрузкой сторонних DLL;
- внедрить правила для EDR/SIEM на выявление запуска Mimikatz, туннелирующих утилит (GOST, Wstunnel, IOX) и инструментов типа Sharp-SMBExec.
- Укрепление аутентификации:
- минимизировать использование локальных администраторских учётных записей;
- ограничить RDP и SMB‑доступ только тем сегментам, где это оправдано, с обязательной многофакторной аутентификацией.
Для организаций, подверженных фишингу (журналисты, НКО, медиа)
- Усилить защиту почтовых и облачных аккаунтов:
- включить устойчивые к перехвату факторы (аппаратные ключи, приложения-аутентификаторы) вместо SMS;
- отключить устаревшие протоколы и базовую аутентификацию, где это возможно.
- Контроль OAuth‑приложений:
- регулярно просматривать список сторонних приложений с доступом к почте и документам;
- запретить или жёстко ограничить выдачу прав «полный доступ к почтовому ящику» и «управление файлами» для внешних приложений.
- Фильтрация и выявление целевого фишинга:
- использовать шлюз безопасности почты с проверкой ссылок и вложений;
- настроить детектирование писем с подозрительными 1×1‑изображениями, загружаемыми с незнакомых доменов.
- Обучение персонала:
- отрабатывать сценарии получения неожиданных писем якобы от коллег, крупных медиа или «служб безопасности» компаний;
- поощрять проверку по альтернативному каналу (мессенджер, телефон) при любых запросах, связанных с входом в аккаунт или предоставлением токена доступа.
Критический шаг для организаций из упомянутых отраслей и регионов — в ближайшие дни закрыть уязвимые точки входа (Exchange, IIS, React2Shell‑совместимые сервисы), провести целенаправленную охоту за web shell и DLL side-loading на серверах, а параллельно внедрить строгий контроль OAuth‑доступа и многофакторной аутентификации для почтовых и облачных аккаунтов, с приоритетной проверкой всех пользователей с повышенным риском — госслужащих, журналистов и активистов.
