Исследователи Palo Alto Networks Unit 42 связали кластер вторжений, отслеживаемый как CL-STA-1062, с ранее незадокументированным бэкдором TinyRCT. По данным отчёта, группировка, предположительно китайскоязычная, атакует государственные учреждения, госпредприятия энергетического сектора и объекты критической инфраструктуры в Юго-Восточной Азии. В период с октября по декабрь 2025 года, как сообщается, были скомпрометированы не менее 10 организаций в регионе. Организациям государственного и энергетического секторов Юго-Восточной Азии рекомендуется проверить свои системы на наличие опубликованных индикаторов компрометации и усилить мониторинг веб-серверов.
Профиль группировки и хронология кампании
По данным Unit 42, активность CL-STA-1062 прослеживается как минимум с марта 2022 года — ранние операции были направлены против стратегических секторов Восточной Азии. С середины 2025 года фокус сместился на критическую инфраструктуру Юго-Восточной Азии. В сентябре 2025 года, как сообщается, группировка проникла в государственное учреждение одной из стран региона, развернула веб-оболочку и эксфильтровала данные из сервера MS SQL. Параллельно проводилась сетевая разведка в отношении другого государственного учреждения той же страны, что указывает на подготовку к горизонтальному перемещению. В одном из случаев атакующие, по данным исследователей, извлекли целый каталог исходного кода веб-сервера.
Важно отметить: атрибуция и данные о масштабе кампании основаны на единственном исследовательском отчёте и не подтверждены независимыми источниками или пострадавшими организациями.
Технический анализ TinyRCT
TinyRCT — это легковесный троян удалённого доступа, написанный на платформе .NET и распространяемый под именем файла PerfWatson2.exe. По результатам анализа Unit 42, бэкдор обладает следующими возможностями:
- Выполнение произвольных команд на скомпрометированном хосте
- Перечисление и эксфильтрация файлов
- Захват снимков экрана
- Удалённое управление системой
- Самоудаление для сокрытия следов
- Обнаружение и обход песочниц
Сетевое взаимодействие
TinyRCT устанавливает постоянный канал связи с командным сервером по протоколу HTTP, используя модель периодических запросов (beaconing) с интервалом по умолчанию 10 секунд. Для получения инструкций применяются GET-запросы, для отправки похищенных данных — POST-запросы. Трафик шифруется алгоритмом AES-128 в режиме CBC.
Цепочка доставки
Доставка TinyRCT осуществляется через вредоносный архив chrome_setup.zip, содержащий три компонента: легитимный исполняемый файл chrome_setup.exe, конфигурационный файл chrome_setup.exe.config и вредоносную библиотеку MyAppDomainManager.dll. Последняя запускает атаку типа AppDomainManager Injection (MITRE ATT&CK T1574.014) — техника подмены менеджера доменов приложений .NET, позволяющая загрузить вредоносный код в контексте легитимного процесса. Загруженная DLL выступает загрузчиком, обращаясь к внешнему серверу для получения основного бэкдора.
Инструментарий и тактики
CL-STA-1062 использует гибридный набор инструментов, сочетающий открытые утилиты с собственными разработками. Среди открытых инструментов, по данным исследователей:
- SoftEther VPN — для создания VPN-туннелей и горизонтального перемещения
- Mimikatz — для извлечения учётных данных
- Yuze — прокси-утилита SOCKS5
- VNT — VPN-инструмент
Характерная особенность группировки — маскировка инструментов под легитимное программное обеспечение. Вредоносные файлы распространяются под именами XDRAgent.exe, vmtools.exe и vmwared.exe, имитируя компоненты VMware и агенты систем расширенного обнаружения угроз. Первоначальный доступ к целевым системам обеспечивается через веб-оболочки формата ASPX, которые используются для начальной разведки и установления исходящих соединений с инфраструктурой атакующих.
Индикаторы компрометации
На основании данных из отчёта Unit 42 опубликованы следующие сетевые индикаторы:
- IP-адрес C2-сервера TinyRCT:
45.32.113[.]172 - IP-адрес сервера загрузки:
139.180.134[.]221 - Имена файлов:
PerfWatson2.exe,chrome_setup.zip,MyAppDomainManager.dll - Маскировочные имена:
XDRAgent.exe,vmtools.exe,vmwared.exe
Оценка воздействия
Наибольшему риску подвержены государственные учреждения, госпредприятия энергетического сектора и операторы критической инфраструктуры в странах Юго-Восточной и Восточной Азии. Эксфильтрация исходного кода веб-серверов и данных из баз MS SQL может привести к компрометации дополнительных систем, утечке конфиденциальной информации и созданию плацдарма для дальнейших атак на связанные организации. Сочетание целенаправленного таргетирования критической инфраструктуры с разработкой собственного вредоносного ПО указывает на устойчивый характер угрозы.
Рекомендации по защите
- Проверить сетевые журналы на наличие соединений с IP-адресами
45.32.113.172и139.180.134.221, особенно HTTP-трафик с периодичностью ~10 секунд - Провести поиск файлов
PerfWatson2.exe,MyAppDomainManager.dllи архивовchrome_setup.zipна серверах и рабочих станциях - Проверить веб-серверы на наличие несанкционированных ASPX-файлов, особенно в каталогах, доступных через веб
- Выявить подозрительные процессы с именами
XDRAgent.exe,vmtools.exe,vmwared.exe, не соответствующие легитимным установкам VMware или XDR-решений - Ограничить использование AppDomainManager в .NET-приложениях — настроить мониторинг загрузки нестандартных конфигурационных файлов
.configрядом с исполняемыми файлами - Усилить контроль исходящих VPN-соединений, в частности SoftEther VPN, и проксирования через SOCKS5 из серверного сегмента
- Аудит доступа к серверам MS SQL — проверить журналы на предмет массового извлечения данных
Появление TinyRCT в арсенале CL-STA-1062 демонстрирует переход группировки от исключительного использования открытых инструментов к разработке собственного вредоносного ПО с шифрованием трафика и механизмами уклонения от обнаружения. Организациям в целевых секторах следует в приоритетном порядке проверить свою инфраструктуру на опубликованные индикаторы компрометации, настроить детектирование техники AppDomainManager Injection (T1574.014) и обеспечить мониторинг аномального HTTP-трафика с характерным для TinyRCT паттерном периодических запросов.