Урядова організація в одній з країн Південно-Східної Азії стала жертвою масштабної кібершпигунської кампанії, яку аналітики Palo Alto Networks Unit 42 описують як «складну та добре забезпечену ресурсами». Розслідування показало, що в операції одночасно діяли три кластери активності, пов’язані з китайськими APT-групами, що вказує на високий рівень координації та стратегічне планування.
Три кластери атак: Mustang Panda, CL-STA-1048 та CL-STA-1049
Unit 42 виділяє три окремі кластери загроз — Mustang Panda, CL-STA-1048 та CL-STA-1049. Хоча кожен кластер використовує різні інструменти і ланцюжки зараження, їх об’єднують спільні TTPs (tactics, techniques and procedures), характерні для відомих китайськоорієнтованих кібершпигунських груп, описаних у публічних звітах міжнародних компаній з кібербезпеки (зокрема, Palo Alto Networks, Mandiant, Microsoft).
Мета операції полягала не в разовому порушенні роботи інфраструктури, а у створенні стійкого, довготривалого доступу до внутрішніх урядових систем. Такий підхід типовий для кібершпигунства: зловмисники прагнуть місяцями непомітно збирати чутливі дані, вивчати структуру мережі та будувати стійкі опорні точки всередині інфраструктури.
Використані шкідливі програми та інструменти кібершпигунства
У межах кампанії виявлено широкий набір шкідливого ПЗ: HIUPAN (USBFect, MISTCLOAK, U2DiskWatch), PUBLOAD, EggStremeFuel (RawCookie), EggStremeLoader (Gorem RAT), MASOL RAT, PoshRAT, TrackBak Stealer, RawCookie, Hypnosis Loader, FluffyGh0st RAT та інші інструменти.
Особливу увагу привертають USB-орієнтовані загрози та техніки маскування під легітимні бібліотеки. Це дозволяє атакувальникам успішно інфікувати навіть ізольовані або жорстко сегментовані мережі, де інтернет-доступ обмежений, але обмін даними через знімні носії залишається критично важливим.
Mustang Panda: USB-атаки, HIUPAN та ланцюжок Claimloader → PUBLOAD → COOLCLIENT
Активність групи Mustang Panda у цій операції фіксувалась з 1 червня по 15 серпня 2025 року. Ключовим елементом зараження став шкідливий модуль HIUPAN, що поширюється через USB-накопичувачі. Потрапивши на робочу станцію, він використовував підроблену бібліотеку Claimloader для завантаження бекдору PUBLOAD.
За даними Unit 42, Claimloader активно застосовується Mustang Panda щонайменше з кінця 2022 року, зокрема в атаках на урядові структури Філіппін. У розглянутому інциденті цей компонент забезпечив приховане впровадження бекдору PUBLOAD і подальше розгортання ще одного інструмента — COOLCLIENT, який пов’язують з Mustang Panda протягом останніх кількох років.
COOLCLIENT надає операторам повноцінний набір можливостей кібершпигунства: завантаження та вивантаження файлів, кейлогінг (перехоплення натискань клавіш), тунелювання трафіку, збір детальної інформації про мережеву конфігурацію. Такі можливості дозволяють не лише викрадати дані, а й використовувати скомпрометовані хости як проміжні вузли для подальшого руху по мережі (lateral movement).
CL-STA-1048 та CL-STA-1049: «шумні» інструменти та FluffyGh0st RAT
CL-STA-1048: маскування за рахунок «шуму»
Кластер CL-STA-1048 вирізняється застосуванням великої кількості різнорідних інструментів і скриптів. Така «шумна» тактика ускладнює атрибуцію: серед великого масиву артефактів захисникам важче вибудувати повний ланцюжок атаки та точно пов’язати його з конкретною групою.
CL-STA-1049: Hypnosis Loader, DLL side-loading та FluffyGh0st RAT
Інший кластер, CL-STA-1049, використовував новий DLL-завантажувач Hypnosis Loader. Його запуск реалізовано через техніку DLL side-loading, коли шкідлива бібліотека підміняє легітимну та завантажується довіреним застосунком. Це дозволяє обійти захист, що базується на репутації та цифрових підписах виконуваних файлів.
Кінцева мета цього ланцюжка — розгортання FluffyGh0st RAT. RAT (Remote Access Trojan) — це тип шкідливого ПЗ, який надає зловмисникам віддалений, стійкий контроль над системою: виконання команд, збір даних, встановлення додаткових модулів. У цьому випадку FluffyGh0st виступає інструментом довготривалої присутності в компрометованій мережі.
Початковий вектор проникнення для кластерів CL-STA-1048 і CL-STA-1049 наразі не ідентифікований. Водночас поєднання DLL side-loading, багатоступеневих завантажувачів і RAT-червів чітко вписується в типову модель скритного проникнення до високо захищених урядових мереж, описану в регулярних галузевих звітах про APT-активність.
Ключові тенденції для кібербезпеки державних структур
Сукупність ознак дозволяє Unit 42 припускати, що усі три кластери переслідували єдині стратегічні цілі в межах узгодженої операції. Фокус на урядовій інфраструктурі, характер шкідливих інструментів та акцент на довгостроковому доступі збігаються з типовими підходами китайських APT-груп, зафіксованих у численних міжнародних розслідуваннях.
Інцидент підкреслює кілька важливих трендів:
- Зростання ролі USB-атак у сегментованих та ізольованих мережах, де знімні носії стають головним каналом перенесення шкідливого ПЗ.
- Системне застосування DLL side-loading як способу обійти традиційні антивірусні рішення та механізми довіри до підписаних застосунків.
- Переважання кібершпигунських цілей над деструктивними атаками: основний акцент робиться на прихованості, зборі розвідданих та довгостроковому контролі над інфраструктурою.
Практичні рекомендації: як зменшити ризики подібних атак
Для урядових та критично важливих організацій такі операції є сигналом до перегляду моделей загроз і пріоритетів захисту. Недостатньо зосереджуватися лише на периметрі; необхідно контролювати внутрішні канали поширення шкідливого ПЗ, включно з фізичними носіями.
Серед пріоритетних заходів:
- Жорсткі політики роботи з USB-пристроями: whitelisting дозволених носіїв, автоматичне шифрування, примусове сканування при підключенні, журналювання всіх операцій.
- Впровадження EDR/XDR-рішень з поведінковим аналізом, здатних виявляти підозрілу активність навіть за відсутності відомих сигнатур.
- Налаштування моніторингу та threat hunting, орієнтованих на виявлення DLL side-loading, аномальних процесів, незвичних мережевих з’єднань і підозрілої активності з USB.
- Регулярні тренувальні інциденти, пентести та аудити безпеки, що моделюють реалістичні сценарії APT-атак і допомагають виявити прогалини в захисті та реагуванні.
Сучасні кібершпигунські кампанії проти урядових структур стають дедалі більш цілеспрямованими та технічно витонченими. Організаціям, які оперують чутливими даними, варто вже зараз посилити контроль за USB-пристроями, впровадити проактивний моніторинг та системний підхід до управління вразливостями. Чим краще установа розуміє свої слабкі місця та типові сценарії атак, тим важче зловмисникам досягти прихованого, довгострокового доступу до її мереж.
