Дослідники зафіксували нову орієнтовану на Китай шпигунську активність SHADOW-EARTH-053, спрямовану проти урядових і оборонних структур у Південній, Східній та Південно-Східній Азії, а також проти однієї країни НАТО (Польщі), із використанням експлуатації вразливих Microsoft Exchange та IIS і розгортанням бекдора ShadowPad; паралельно інші кластери, GLITTER CARP і SEQUIN CARP, проводять фішингові операції проти журналістів і активістів, що в сукупності вимагає від організацій негайного посилення патч-менеджменту інтернет‑порталів і жорсткого контролю доступу до поштових та хмарних акаунтів.
Технічні деталі: від вразливих IIS до ShadowPad та Noodle RAT
Ланцюжок атаки SHADOW-EARTH-053
Кластер SHADOW-EARTH-053, за спостереженнями Trend Micro, активний щонайменше з грудня 2024 року і використовує типовий для зрілих шпигунських операцій сценарій: поєднання експлуатації вже відомих вразливостей (N-day) і продуманої постексплуатації.
Ключові елементи ланцюжка:
- Початковий доступ: експлуатація відомих вразливостей в інтернет‑доступних застосунках на Microsoft IIS і в Microsoft Exchange, зокрема ланцюжків типу ProxyLogon. Це дає пряме виконання коду в контексті сервера застосунків.
- Закріплення через web shell: на скомпрометовані сервери розгортається web shell Godzilla, що відповідає техніці MITRE ATT&CK Web Shell. Такій оболонці достатньо стандартного HTTP/HTTPS‑трафіку, тож її складно відфільтрувати на периметрі.
- Розвідка та підготовка: через web shell виконуються команди для інвентаризації системи та мережі, готуючи ґрунт до встановлення більш складних засобів віддаленого керування.
- Встановлення ShadowPad: фінальна стадія — розгортання модульного бекдора ShadowPad шляхом завантаження DLL боковим способом (DLL side-loading) через легітимний підписаний виконуваний файл, зокрема AnyDesk. Цей прийом відповідає техніці MITRE ATT&CK DLL Side-Loading і суттєво знижує шанси виявлення завдяки довіреному підпису та звичній поведінці процесу.
Окремий епізод кампанії демонструє гнучкість інструментів: для експлуатації Linux‑середовищ був задіяний експлойт React2Shell для вразливості CVE-2025-55182, що дозволило розгорнути Linux‑варіант Noodle RAT (також відомого як ANGRYREBEL та Nood RAT). Подробиці щодо самої вразливості доступні в базі NVD: NVD: CVE-2025-55182.
Інструменти постексплуатації та приховування
Після закріплення SHADOW-EARTH-053 переходить до вертикального й горизонтального розвитку компрометації:
- Тунелювання та обхід периметра: використовуються відкриті засоби тунелювання IOX, GO Simple Tunnel (GOST) і Wstunnel, що дають змогу інкапсулювати керівний трафік у звичні протоколи (зазвичай HTTPS або WebSocket) й обходити мережеві обмеження.
- Пакування бінарних файлів: для ускладнення статичного аналізу та сигнатурного виявлення застосовується пакувальник RingQ, що ускладнює виявлення бекдорів на рівні файлового сканування.
- Підвищення привілеїв: використовується Mimikatz для добування облікових даних, що відповідає техніці MITRE ATT&CK Credential Dumping. Компрометація доменних облікових записів перетворює одиничний серверний інцидент на доменну кризу.
- Боковий рух: застосовується власний лаунчер для протоколу RDP та C#‑реалізація інструмента SMBExec під назвою Sharp-SMBExec, що вкладається в техніки сімейства Lateral Movement over SMB.
Окремих IOC (IP‑адрес, доменів, хешів) в описі кампанії не наведено, що підкреслює: покладатися виключно на статичні індикатори в цьому випадку неефективно, акцент слід зміщувати на поведінковий і лог‑орієнтований моніторинг.
GLITTER CARP і SEQUIN CARP: фішинг як інструмент транснаціонального тиску
Дослідження Citizen Lab описує дві інші орієнтовані на Китай фішингові активності — GLITTER CARP і SEQUIN CARP, спрямовані проти журналістів, міжнародних медіа та активістів з уйгурської, тибетської, тайванської та гонконзької діаспор. Ці операції не використовують складних експлойтів, але спираються на високорівневу соціальну інженерію та повторне використання інфраструктури.
Ключові особливості:
- Точна імітація особи: зловмисники підробляють листи від реальних журналістів, колег по галузі й навіть від імені великих технологічних компаній (наприклад, повідомлення безпеки), створюючи довірчий контекст.
- Механізми доступу:
- перехоплення облікових даних на фішингових сторінках;
- соціальна інженерія, що переконує жертву надати права доступу до акаунта через сторонній OAuth-токен;
- використання комплекту для фішингу за моделлю adversary-in-the-middle (AiTM), який дозволяє перехоплювати сесійні токени навіть за наявності багатофакторної автентифікації.
- Трекінг відкриття листів: у кампаніях GLITTER CARP використовуються однопіксельні зображення (1×1) із завантаженням з домена зловмисників для збирання інформації про пристрій і факт прочитання листа.
GLITTER CARP також пов’язують із фішинговими атаками на тайванську напівпровідникову галузь (під іменем UNK_SparkyCarp у дослідженні Proofpoint), а SEQUIN CARP демонструє схожість із групою UTA0388 (Volexity) і набором TAOTH (Trend Micro). Citizen Lab наголошує на наявності перетинів інфраструктури та технік між кількома кластерами, що свідчить про розподілену мережу підрядників, які обслуговують інтереси держави.
Контекст загроз та екосистема підрядників
SHADOW-EARTH-053 демонструє мережевий перетин з іншими китайськими кластерами, що відстежуються як CL-STA-0049, Earth Alux і REF7707, а використання React2Shell і Noodle RAT пов’язується Google Threat Intelligence Group з групою UNC6595. Водночас прямої оперативної координації між SHADOW-EARTH-053 і близьким до нього кластером SHADOW-EARTH-054 Trend Micro не спостерігає, хоча майже половина цілей перетинається.
З іншого боку, Citizen Lab щодо GLITTER CARP і SEQUIN CARP вказує на модель «розподіленого аутсорсингу»: різні підрядники ведуть як класичні шпигунські операції, так і кампанії цифрового тиску проти діаспор і громадянського суспільства, причому цілі чітко корелюють із пріоритетами китайських спецслужб. Такий підхід ускладнює надійну атрибуцію: інфраструктура та інструменти можуть мігрувати між групами, а окремі розробники й оператори беруть участь у кількох проєктах одночасно.
Оцінка впливу
Найбільшому ризику піддаються:
- Урядові та оборонні структури у Пакистані, Таїланді, Малайзії, Індії, М’янмі, Шрі‑Ланці, Тайвані та Польщі, які використовують Exchange та IIS з доступом з інтернету й не мають сталого процесу оперативного патч-менеджменту.
- Організації громадянського суспільства та медіа, особливо ті, що працюють із темами, чутливими для уряду Китаю (корупція, права меншин, геополітика Тайваню та Гонконгу).
Потенційні наслідки бездіяльності:
- Тривала прихована компрометація інфраструктури за допомогою ShadowPad і Noodle RAT, витік листування, документів, планів закупівель і військових чи зовнішньополітичних сценаріїв.
- Компрометація доменного середовища через Mimikatz і боковий рух з подальшою повною втратою довіри до середовища Active Directory та необхідністю дороговартісної реімплементації.
- Тиск на журналістів і активістів через перехоплення пошти й внутрішніх матеріалів, можливі кампанії дискредитації чи вибіркові «зливи» в зручному для атакувальної сторони контексті.
Практичні рекомендації із захисту
Для власників Exchange/IIS та серверної інфраструктури
- Негайно актуалізувати патчі:
- встановити останні кумулятивні оновлення Microsoft Exchange і всіх застосунків на IIS;
- перевірити наявність виправлень для CVE-2025-55182 на Linux‑системах, де розгорнуті задіяні компоненти (NVD: CVE-2025-55182).
- Застосувати віртуальне патчування, якщо оновлення неможливо встановити швидко:
- Провести мисливство на web shell:
- перевірити каталоги віртуальних директорій IIS та OWA/Exchange на наявність невідомих ASPX, JSP та інших скриптів;
- проаналізувати логи IIS на предмет аномальних запитів до маловідомих скриптів і довгих зашифрованих параметрів, характерних для Godzilla.
- Виявлення DLL side-loading і нетипових інструментів:
- моніторити запуск AnyDesk та інших підписаних виконуваних файлів із нестандартних шляхів і з завантаженням сторонніх DLL;
- упровадити правила для EDR/SIEM щодо виявлення запуску Mimikatz, тунелювальних утиліт (GOST, Wstunnel, IOX) та інструментів на кшталт Sharp-SMBExec.
- Посилення автентифікації:
- мінімізувати використання локальних облікових записів адміністраторів;
- обмежити RDP- і SMB‑доступ лише тими сегментами, де це виправдано, з обов’язковою багатофакторною автентифікацією.
Для організацій, схильних до фішингу (журналісти, НУО, медіа)
- Посилити захист поштових і хмарних акаунтів:
- увімкнути стійкі до перехоплення фактори (апаратні ключі, застосунки-аутентифікатори) замість SMS;
- вимкнути застарілі протоколи та базову автентифікацію, де це можливо.
- Контроль OAuth‑застосунків:
- регулярно переглядати список сторонніх застосунків із доступом до пошти й документів;
- заборонити або жорстко обмежити надання прав «повний доступ до поштової скриньки» та «керування файлами» для зовнішніх застосунків.
- Фільтрація та виявлення цільового фішингу:
- використовувати поштовий шлюз безпеки з перевіркою посилань і вкладень;
- налаштувати виявлення листів із підозрілими 1×1‑зображеннями, що завантажуються з невідомих доменів.
- Навчання персоналу:
- відпрацьовувати сценарії отримання неочікуваних листів нібито від колег, великих медіа чи «служб безпеки» компаній;
- заохочувати перевірку по альтернативному каналу (месенджер, телефон) за будь-яких запитів, пов’язаних із входом в акаунт або наданням токена доступу.
Критичний крок для організацій із згаданих галузей і регіонів — найближчими днями закрити вразливі точки входу (Exchange, IIS, React2Shell‑сумісні сервіси), провести цілеспрямоване мисливство на web shell і DLL side-loading на серверах, а паралельно впровадити суворий контроль OAuth‑доступу та багатофакторної автентифікації для поштових і хмарних акаунтів із пріоритетною перевіркою всіх користувачів із підвищеним ризиком — держслужбовців, журналістів та активістів.
