Зловмисника, пов’язаного з Китаєм, приписують п’ятимісячному вторгненню, націленому на російського постачальника ІТ-послуг, що означає розширення хакерської групи на країну за межі Південно-Східної Азії та Південної Америки.
Операцію, яка мала місце з січня по травень 2025 року, Symantec, що належить Broadcom, приписує загрозі, яку вона відслідковує як Jewelbugякий, за його словами, перекривається з кластерами, відомими як CL-STA-0049 (Palo Alto Networks Unit 42), Earth Alux (Trend Micro) і REF7707 (Elastic Security Labs).
Отримані дані свідчать про те, що Росія не є забороненою для операцій китайського кібершпигунства, незважаючи на посилення «військових, економічних і дипломатичних» відносин між Москвою та Пекіном протягом багатьох років.
«Зловмисники мали доступ до сховищ коду та систем створення програмного забезпечення, які вони потенційно могли використати для здійснення атак на ланцюги поставок, націлених на клієнтів компанії в Росії», — йдеться у звіті команди Symantec Threat Hunter Team, наданому The Hacker News. «Також зловмисники викрадали дані в Yandex Cloud».
Оцінюється, що Earth Alux активний принаймні з другого кварталу 2023 року, а атаки в основному спрямовані на державні органи, технології, логістику, виробництво, телекомунікації, ІТ-послуги та роздрібну торгівлю в Азіатсько-Тихоокеанському регіоні (APAC) і Латинській Америці (LATAM) для доставки зловмисного програмного забезпечення, як-от VARGEIT і COBEACON (також відомого як Cobalt Strike Beacon).
Атаки, здійснені CL-STA-0049/REF7707, з іншого боку, були помічені як розповсюдження вдосконаленого бекдора під назвою FINALDRAFT (він же Squidoor), який здатний заразити системи Windows і Linux. Висновки Symantec знаменують собою перший випадок, коли ці два кластери діяльності були пов’язані разом.
Кажуть, що в атаці, спрямованій на російського постачальника ІТ-послуг, Jewelbug використовував перейменовану версію Microsoft Console Debugger (“cdb.exe”), який можна використовувати для запуску шелл-коду та обходу білого списку додатків, а також для запуску виконуваних файлів, запуску бібліотек DLL і завершення роботи рішень безпеки.
Також було помічено, що зловмисник скидає облікові дані, встановлює постійність за допомогою запланованих завдань і намагається приховати сліди своєї діяльності, очищаючи журнали подій Windows.
Орієнтація на постачальників ІТ-послуг є стратегічною, оскільки відкриває двері для можливих атак на ланцюги поставок, дозволяючи суб’єктам загрози використовувати компрометацію, щоб зловмисувати відразу кількох клієнтів за допомогою зловмисних оновлень програмного забезпечення.
Крім того, Jewelbug також був пов’язаний із вторгненням у велику урядову організацію Південної Америки в липні 2025 року, розгорнувши раніше незадокументований бекдор, який, як кажуть, знаходиться на стадії розробки, що підкреслює можливості групи, що розвиваються. Зловмисне програмне забезпечення використовує Microsoft Graph API і OneDrive для керування (C2) і може збирати системну інформацію, перераховувати файли з цільових машин і завантажувати інформацію в OneDrive.
Використання Microsoft Graph API дозволяє загрозливому суб’єкту зливатися зі звичайним мережевим трафіком і залишає мінімальні криміналістичні артефакти, що ускладнює аналіз після інциденту та подовжує час перебування загрозливих суб’єктів.
Серед інших цілей – ІТ-провайдер із Південної Азії та тайванська компанія в жовтні та листопаді 2024 року, причому атака на останню з використанням методів бокового завантаження DLL для видалення шкідливих корисних навантажень, зокрема ShadowPad, бекдор, який використовується виключно китайськими хакерськими групами.
Ланцюжок зараження також характеризується розгортанням інструменту KillAV для вимкнення програмного забезпечення безпеки та загальнодоступного інструменту під назвою EchoDrv, який дозволяє зловживати вразливістю ядра для читання/запису в античіт-драйвері ECHOAC, як частину того, що виглядає як атака на вразливий драйвер (BYOVD).
Також було використано LSASS і Mimikatz для скидання облікових даних, вільно доступні інструменти, як-от PrintNotifyPotato, Coerced Potato та Sweet Potato для виявлення та підвищення привілеїв, а також утиліту тунелювання SOCKS під назвою EarthWorm, яку використовували китайські хакерські команди, такі як Gelsemium, Lucky Mouse і Velvet Ant.
Команда Symantec Threat Hunter повідомила The Hacker News, що вони не можуть підтвердити вектор зараження, який використовувався для зламу організацій у всіх інцидентах, про які йдеться вище.
«Те, що Jewelbug надає перевагу використанню хмарних служб та інших законних інструментів у своїх операціях, свідчить про те, що для цієї групи надзвичайно важливо залишатися поза увагою та встановити непомітну та постійну присутність у мережах жертв», — заявили в Symantec.
Розголошення сталося після того, як Бюро національної безпеки Тайваню попередило про зростання кібератак Китаю, спрямованих на його урядові департаменти, і закликало пекінську «армію онлайн-тролів» за спроби поширити сфабрикований контент у соціальних мережах і підірвати довіру людей до уряду та посіяти недовіру до США, повідомляє Reuters.