Дослідники Palo Alto Networks Unit 42 пов’язали кластер вторгнень, який відстежується як CL-STA-1062, із раніше не задокументованим бекдором TinyRCT. За даними звіту, угруповання, імовірно китайськомовне, атакує державні установи, державні підприємства енергетичного сектору та об’єкти критичної інфраструктури в Південно-Східній Азії. У період з жовтня по грудень 2025 року, за повідомленнями, було скомпрометовано щонайменше 10 організацій у регіоні. Організаціям державного та енергетичного секторів Південно-Східної Азії рекомендується перевірити свої системи на наявність опублікованих індикаторів компрометації та посилити моніторинг веб-серверів.
Профіль угруповання та хронологія кампанії
За даними Unit 42, активність CL-STA-1062 простежується щонайменше з березня 2022 року — ранні операції були спрямовані проти стратегічних секторів Східної Азії. Із середини 2025 року фокус змістився на критичну інфраструктуру Південно-Східної Азії. У вересні 2025 року, за повідомленнями, угруповання проникло до державної установи однієї з країн регіону, розгорнуло веб-оболонку і ексфільтрувало дані з сервера MS SQL. Паралельно велася мережева розвідка щодо іншої державної установи тієї ж країни, що вказує на підготовку до горизонтального переміщення. В одному з випадків зловмисники, за даними дослідників, вивантажили цілий каталог вихідного коду веб-сервера.
Важливо зазначити: атрибуція та дані про масштаби кампанії ґрунтуються на одному дослідницькому звіті й не підтверджені незалежними джерелами або постраждалими організаціями.
Технічний аналіз TinyRCT
TinyRCT — це легковагий троян віддаленого доступу, написаний на платформі .NET і поширюваний під ім’ям файла PerfWatson2.exe. За результатами аналізу Unit 42, бекдор має такі можливості:
- Виконання довільних команд на скомпрометованому хості
- Перерахування та ексфільтрація файлів
- Захоплення знімків екрана
- Віддалене керування системою
- Самовидалення для приховування слідів
- Виявлення та обхід пісочниць
Мережева взаємодія
TinyRCT встановлює постійний канал зв’язку з командним сервером за протоколом HTTP, використовуючи модель періодичних запитів (beaconing) з інтервалом за замовчуванням 10 секунд. Для отримання інструкцій застосовуються GET-запити, для надсилання викрадених даних — POST-запити. Трафік шифрується алгоритмом AES-128 у режимі CBC.
Ланцюжок доставки
Доставлення TinyRCT здійснюється через шкідливий архів chrome_setup.zip, що містить три компоненти: легітимний виконуваний файл chrome_setup.exe, конфігураційний файл chrome_setup.exe.config і шкідливу бібліотеку MyAppDomainManager.dll. Остання запускає атаку типу AppDomainManager Injection (MITRE ATT&CK T1574.014) — техніку підміни менеджера доменів застосунків .NET, яка дає змогу завантажити шкідливий код у контексті легітимного процесу. Завантажена DLL виконує роль завантажувача, звертаючись до зовнішнього сервера для отримання основного бекдора.
Інструментарій і тактики
CL-STA-1062 використовує гібридний набір інструментів, що поєднує відкриті утиліти з власними розробками. Серед відкритих інструментів, за даними дослідників:
- SoftEther VPN — для створення VPN-тунелів і горизонтального переміщення
- Mimikatz — для вилучення облікових даних
- Yuze — проксі-утиліта SOCKS5
- VNT — VPN-інструмент
Характерна риса угруповання — маскування інструментів під легітимне програмне забезпечення. Шкідливі файли поширюються під назвами XDRAgent.exe, vmtools.exe та vmwared.exe, імітуючи компоненти VMware і агентів систем розширеного виявлення загроз. Початковий доступ до цільових систем забезпечується через веб-оболонки формату ASPX, які використовуються для початкової розвідки та встановлення вихідних з’єднань з інфраструктурою зловмисників.
Індикатори компрометації
На підставі даних зі звіту Unit 42 опубліковано такі мережеві індикатори:
- IP-адреса C2-сервера TinyRCT:
45.32.113[.]172 - IP-адреса сервера завантаження:
139.180.134[.]221 - Імена файлів:
PerfWatson2.exe,chrome_setup.zip,MyAppDomainManager.dll - Маскувальні назви:
XDRAgent.exe,vmtools.exe,vmwared.exe
Оцінка впливу
Найбільшому ризику піддаються державні установи, державні підприємства енергетичного сектору та оператори критичної інфраструктури в країнах Південно-Східної та Східної Азії. Ексфільтрація вихідного коду веб-серверів і даних із баз MS SQL може призвести до компрометації додаткових систем, витоку конфіденційної інформації та створення плацдарму для подальших атак на пов’язані організації. Поєднання цілеспрямованого націлювання критичної інфраструктури з розробкою власного шкідливого ПЗ вказує на стійкий характер загрози.
Рекомендації із захисту
- Перевірити мережеві журнали на наявність з’єднань з IP-адресами
45.32.113.172та139.180.134.221, особливо HTTP-трафік із періодичністю ~10 секунд - Виконати пошук файлів
PerfWatson2.exe,MyAppDomainManager.dllта архівівchrome_setup.zipна серверах і робочих станціях - Перевірити веб-сервери на наявність несанкціонованих ASPX-файлів, особливо в каталогах, доступних через веб
- Виявити підозрілі процеси із назвами
XDRAgent.exe,vmtools.exe,vmwared.exe, які не відповідають легітимним інсталяціям VMware або XDR-рішень - Обмежити використання AppDomainManager у .NET-застосунках — налаштувати моніторинг завантаження нестандартних конфігураційних файлів
.configпоряд із виконуваними файлами - Посилити контроль вихідних VPN-з’єднань, зокрема SoftEther VPN, і проксіювання через SOCKS5 із серверного сегмента
- Провести аудит доступу до серверів MS SQL — перевірити журнали на предмет масового вилучення даних
Поява TinyRCT в арсеналі CL-STA-1062 демонструє перехід угруповання від виключного використання відкритих інструментів до розробки власного шкідливого ПЗ із шифруванням трафіку та механізмами ухилення від виявлення. Організаціям у цільових секторах слід у пріоритетному порядку перевірити свою інфраструктуру на опубліковані індикатори компрометації, налаштувати виявлення техніки AppDomainManager Injection (T1574.014) та забезпечити моніторинг аномального HTTP-трафіку з характерним для TinyRCT шаблоном періодичних запитів.