Исследователи Google Threat Intelligence Group (GTIG) раскрыли детали масштабной шпионской операции, приписываемой китайской группе APT24 (Pitty Tiger). Кампания длится около трех лет и нацелена на кражу интеллектуальной собственности у организаций в США и на Тайване с использованием ранее не документированного вредоносного ПО BadAudio.
Кого атакует APT24 и зачем
По данным GTIG, APT24 фокусируется на организациях, обладающих ценной технологической и коммерческой информацией. В список целей входят правительственные структуры, компании из сфер здравоохранения, строительства и проектирования, горнодобывающей отрасли, телекоммуникаций, а также некоммерческие организации.
Основная мотивация группировки — кибершпионаж и кража интеллектуальной собственности. Речь идет не о разовых взломах ради выкупа, а о систематическом доступе к данным, которые обеспечивают конкурентные преимущества: проектная документация, исследовательские разработки, коммерческие стратегии, данные о партнерах.
Многоэтапные атаки: от watering hole до компрометации цепочки поставок
Вредоносный JavaScript и поддельные окна обновлений
С ноября 2022 по сентябрь 2025 года APT24 скомпрометировала более 20 легитимных веб‑сайтов в различных доменных зонах, реализовав классическую схему watering hole (заражение часто посещаемых ресурсов для последующего заражения посетителей).
В исходный код сайтов внедрялся вредоносный JavaScript, который выполнял фингерпринтинг пользователей Windows: собирал технические параметры системы и браузера. Если устройство соответствовало критериям атакующих, жертве показывалось фальшивое всплывающее окно «обновления ПО», при нажатии на которое загружалась малварь BadAudio.
Компрометация цепочки поставок: атака через JS-библиотеки
С июля 2024 года злоумышленники неоднократно взламывали тайваньскую маркетинговую компанию, поставляющую JavaScript‑библиотеки своим клиентам. APT24 внедрила вредоносный код в популярную библиотеку и одновременно зарегистрировала домен, маскирующийся под законный CDN‑провайдер.
Такой подход позволил атакующим , использующих зараженную библиотеку. Это классический пример атаки на цепочку поставок, когда достаточно взломать один платформенный компонент, чтобы получить доступ к множеству организаций — аналогичные сценарии ранее наблюдались в кейсах SolarWinds и CCleaner.
Злоупотребление JSON и скрытый сбор телеметрии
Во второй волне атак, с конца 2024 по июль 2025 года, APT24 снова нацелилась на ту же тайваньскую фирму, но уже с иным подходом. В модифицированный JSON‑файл был внедрен обфусцированный JavaScript, который после выполнения собирал информацию о посетителях и отправлял отчет, закодированный в base64, на управляющий сервер группы.
Фишинг под видом зоозащитных организаций и облачные сервисы
Параллельно с веб‑атаками, начиная с августа 2024 года, APT24 проводила таргетированные фишинговые кампании. Письма оформлялись от имени организаций по защите животных, что повышало доверие и снижало бдительность получателей.
В теле таких сообщений использовались скрытые пиксели отслеживания, позволяющие злоумышленникам понимать, какие адресаты открыли письма и потенциально поддаются дальнейшей социальной инженерии. Для сбора и передачи данных в ряде случаев применялись злоупотребления легитимными облачными сервисами, такими как Google Drive и OneDrive, что затрудняет фильтрацию трафика и отличает его от обычной деловой активности.
BadAudio: малварь, маскирующаяся под легитимные DLL
Технологии DLL search order hijacking и sideloading
BadAudio представляет собой сильно обфусцированный загрузчик (loader), спроектированный для малозаметного разворачивания последующих вредоносных компонентов. Ключевая техника — DLL search order hijacking / DLL sideloading: злоумышленники помещают вредоносную DLL в каталог, откуда ее подхватывает легитимное приложение Windows, следуя стандартному порядку поиска библиотек.
Такой подход позволяет вредоносной нагрузке запускаться под видом доверенного процесса, обходя часть классических защитных механизмов и снижая вероятность детектирования.
Сложная обфускация и минимальная детектируемость
Код BadAudio разбит на множество разрозненных блоков, выполнение которых контролируется центральным «диспетчером». Подобная схема усложняет как автоматический анализ (sandbox, статический анализ), так и ручной реверс‑инжиниринг.
После запуска BadAudio собирает базовые сведения о системе — имя хоста, имя пользователя, архитектуру — шифрует их жестко прописанным в коде AES‑ключом и отправляет на сервер управления. В ответ загружается зашифрованная полезная нагрузка, которая после расшифровки выполняется в памяти через DLL sideloading, минимизируя следы на диске.
По данным GTIG, из восьми выявленных образцов BadAudio только два детектируются более чем 25 антивирусными движками на VirusTotal. Образцы от 7 декабря 2022 года обнаруживаются не более чем пятью защитными решениями, что указывает на высокую эффективность обфускации и точечное использование малвари.
Что означают атаки APT24 для организаций
Кампания APT24 демонстрирует зрелый, многоуровневый подход к кибершпионажу: сочетание атак на цепочку поставок, watering hole, таргетированного фишинга и малозаметных загрузчиков. Похожие тактики и техники регулярно фиксируются в публичных отраслевых отчетах по киберугрозам (например, Verizon DBIR и Mandiant M‑Trends), где подчеркивается рост сложности и скрытности APT‑операций.
Для организаций из критичных отраслей это означает необходимость перехода от фрагментарной защиты к комплексной стратегии кибербезопасности, включающей контроль поставщиков, мониторинг веб‑активов, защиту почты и продвинутый анализ аномалий на рабочих станциях и серверах.
Чтобы снизить риск похожих атак, имеет смысл: усиливать проверки сторонних библиотек и JS‑кода (включая SRI‑подписи и контроль целостности), ограничивать возможность DLL sideloading с помощью настроек приложений и политики блокировки, внедрять EDR‑решения и регулярный threat hunting по признакам обфускации и аномальных сетевых подключений, обучать сотрудников распознаванию таргетированного фишинга и использовать многофакторную аутентификацию для критичных сервисов.
Операция APT24 с использованием BadAudio — показательный пример того, как продвинутые группы сочетают техническую изощренность с социальной инженерией и атаками на цепочку поставок. Организациям, работающим в чувствительных отраслях и на международных рынках, важно регулярно пересматривать свои модели угроз, обновлять средства защиты и инвестировать в проактивный мониторинг, чтобы обнаруживать подобные кампании до того, как они приведут к утечке критически важной интеллектуальной собственности.
