Специалисты команды Solar 4RAYS обнаружили в инфраструктуре одной из российских госструктур ранее неизвестный модульный бэкдор ShadowRelay. Этот вредоносный инструмент ориентирован на длительное скрытное присутствие, загрузку дополнительных шпионских модулей и управление хостами, которые не имеют прямого выхода в интернет. По данным исследователей, бэкдор уже был задействован в целевой атаке на организацию государственного сектора.
Новый модульный бэкдор ShadowRelay и связь с APT-группировками
Инцидент, в ходе которого был выявлен ShadowRelay, расследовался в 2025 году и, по оценке экспертов, с высокой вероятностью связан с деятельностью азиатской APT-группировки Erudite Mogwai (также известной как Space Pirates). В отдельные периоды активности в инфраструктуре фиксировались признаки работы смежной группы, обозначенной как Obstinate Mogwai, на фоне чего и был внедрен новый бэкдор.
Ранее эти группировки уже связывали с применением модульных шпионских платформ (например, ShadowPad), типичных для длительных целевых кибершпионских операций (APT-атак). Появление ShadowRelay логично вписывается в эту тенденцию — переход от монолитных троянов к гибким фреймворкам, настраиваемым под конкретную операцию.
Компрометация Microsoft Exchange через цепочку уязвимостей ProxyShell
Ключевой точкой входа злоумышленников стал уязвимый сервер Microsoft Exchange, развернутый летом 2024 года и не получивший своевременных обновлений безопасности. Для компрометации хакеры использовали известную цепочку уязвимостей ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207), которая уже несколько лет активно эксплуатируется в целевых и массовых атаках на почтовую инфраструктуру.
Почтовый сервер оказался под прицелом сразу нескольких группировок: в ходе анализа были обнаружены различные вредоносные инструменты, включая ShadowPad Light (Deed RAT). На этом фоне исследователи выявили и новый модульный бэкдор ShadowRelay, который был размещен в системе в период предполагаемой активности Obstinate Mogwai.
Архитектура и функциональные возможности ShadowRelay
ShadowRelay представляет собой модульную платформу, в которой основной бэкдор выполняет роль «каркаса», а необходимая функциональность реализуется через подгружаемые плагины. В базовой конфигурации он не содержит явных шпионских или управляющих модулей, но способен загружать их по команде оператора.
Особенность бэкдора — способность взаимодействовать с другими своими копиями и координировать их работу, в том числе на хостах, не имеющих прямого доступа в интернет. Логика управления и сценарии атак выносятся в плагины, что затрудняет анализ: даже при обнаружении основного бинарного файла исследователь не видит полного спектра возможностей без сопутствующих модулей. По данным Solar 4RAYS, плагины для ShadowRelay в исследуемой инфраструктуре обнаружить не удалось, поэтому конечные цели операции остаются не до конца ясными.
Скрытность, антианализ и работа с изолированными сегментами
Для маскировки в системе ShadowRelay использует ряд техник: инъекцию кода в легитимные процессы, переиспользование уже открытых сетевых портов и минимизацию артефактов в файловой системе. Это затрудняет идентификацию бэкдора средствами традиционного антивируса и сигнатурного анализа.
Вредонос включает проверки на наличие отладчиков, песочниц и признаков реверс-инжиниринга. Полноценная нагрузка активируется только при передаче специального параметра из конфигурационного файла. Если условия не выполняются или среда кажется подозрительной, срабатывает механизм самоликвидации, что серьезно осложняет форензику и сбор доказательств.
Наиболее опасной возможностью ShadowRelay исследователи называют сбор данных и управление хостами в изолированных от интернета сегментах. Бэкдор создает сеть из «серверов» и «клиентов» — его копий в разных частях инфраструктуры. Имплант в интернет-сегменте выступает в роли шлюза, ретранслируя команды и данные между внешним управляющим сервером и машинами в закрытых подсетях, где обычно располагаются критические сервисы и чувствительные данные.
Угроза для госсектора и критической инфраструктуры
По совокупности признаков ShadowRelay ориентирован на долгосрочное скрытое присутствие в инфраструктуре, что характерно прежде всего для шпионских APT-группировок, а не для массовых криминальных кампаний. Возможность охвата как периметра, так и глубоко изолированных сегментов делает этот инструмент особенно опасным для государственных органов и организаций, влияющих на экономическую и национальную безопасность.
В проанализированном инциденте Solar 4RAYS отмечает, что бэкдор не успел осуществить кражу данных или нанести иной ощутимый ущерб. Однако наличие столь сложного инструмента в инфраструктуре госсектора указывает на высокую степень подготовки злоумышленников и их интерес к российским государственным и окологосударственным организациям.
Как защититься от атак с использованием ShadowRelay
Эксперты Solar 4RAYS рекомендуют организациям, особенно в госсекторе и критической инфраструктуре, уделить повышенное внимание обнаружению и предотвращению атак на уровне сети и хостов. В отчете по инциденту приводится Snort-правило для детектирования сетевой активности ShadowRelay — его стоит интегрировать в системы NIDS/NIPS и SOC-платформы.
Среди ключевых рекомендаций по защите выделяются:
– оперативное обновление и жесткий контроль безопасности серверов Microsoft Exchange и других систем, доступных из интернета;
– использование EDR/XDR-решений для выявления аномального поведения процессов, инъекций кода и нетипичных сетевых соединений;
– мониторинг East–West-трафика внутри сети для обнаружения горизонтального перемещения и обмена данными между сегментами;
– регулярное применение правил Snort, сигнатур и IoC из свежих отчетов о киберугрозах;
– проверка изолированных сегментов на наличие скрытых каналов связи и «мостов» через соседние зоны.
Распространение таких инструментов, как ShadowRelay, показывает, что злоумышленники системно инвестируют в развитие модульных платформ для шпионажа и управления изолированными сетями. Организациям госсектора и крупным компаниям важно не ограничиваться базовыми мерами защиты, а регулярно пересматривать архитектуру безопасности, усиливать мониторинг, обновлять правила детектирования и обучать ИБ-команды работе с новыми классами угроз. Чем раньше подобные бэкдоры будут обнаружены и заблокированы, тем ниже риск утечки критически важных данных и срыва ключевых бизнес-процессов.
