Бесплатный хостинг от правительства: группа Ink Dragon превращает госсерверы в свою инфраструктуру
NewsMakerКитайская APT-группа Ink Dragon превратила взломанные госсерверы в глобальную сеть скрытой ретрансляции команд.
Исследователи Check Point Research раскрыли масштабную шпионскую операцию китайской APT-группы Ink Dragon, которая превращает взломанные серверы государственных организаций в распределённую сеть ретрансляции команд и трафика, фактически используя самих жертв как элемент своей инфраструктуры управления.
Ink Dragon, также известная под именами Earth Alux, Jewelbug , REF7707 и CL-STA-0049, активно действует как минимум с начала 2023 года. Изначально группа концентрировалась на государственных, телекоммуникационных и публичных организациях в Юго-Восточной Азии и Южной Америке, однако в последние месяцы заметно усилила активность против правительственных структур в Европе. Кампании группы отличаются высоким уровнем инженерной проработки, аккуратной операционной дисциплиной и активным использованием легитимных системных компонентов, что позволяет атакам долго оставаться незаметными.
Ключевой особенностью Ink Dragon является подход, при котором скомпрометированные серверы не просто используются для шпионажа, а встраиваются в глобальную распределённую сеть ретрансляции. Для этого злоумышленники разворачивают специализированный IIS-модуль ShadowPad Listener, который интегрируется в веб-сервер и незаметно перехватывает HTTP(S)-трафик. Каждый заражённый сервер становится узлом, способным принимать команды, пересылать их другим жертвам и проксировать соединения, тем самым расширяя инфраструктуру управления без использования выделенных C2-серверов.
Первичное проникновение в большинстве случаев осуществляется через давно известные, но всё ещё распространённые ошибки конфигурации IIS и SharePoint. Ink Dragon активно эксплуатирует уязвимости десериализации ASP.NET ViewState, используя предсказуемые или утёкшие machineKey-значения, что позволяет выполнять произвольный код. В ряде атак также применялась цепочка уязвимостей ToolShell в локальных установках Microsoft SharePoint , которая даёт возможность неаутентифицированного удалённого выполнения кода и установки веб-шеллов. Летом 2025 года группа проводила массовое сканирование на уязвимые SharePoint-серверы, что указывает на ранний доступ к эксплойтам.
Исследователи Check Point Research раскрыли масштабную шпионскую операцию китайской APT-группы Ink Dragon, которая превращает взломанные серверы государственных организаций в распределённую сеть ретрансляции команд и трафика, фактически используя самих жертв как элемент своей инфраструктуры управления.
Ink Dragon, также известная под именами Earth Alux, Jewelbug , REF7707 и CL-STA-0049, активно действует как минимум с начала 2023 года. Изначально группа концентрировалась на государственных, телекоммуникационных и публичных организациях в Юго-Восточной Азии и Южной Америке, однако в последние месяцы заметно усилила активность против правительственных структур в Европе. Кампании группы отличаются высоким уровнем инженерной проработки, аккуратной операционной дисциплиной и активным использованием легитимных системных компонентов, что позволяет атакам долго оставаться незаметными.
Ключевой особенностью Ink Dragon является подход, при котором скомпрометированные серверы не просто используются для шпионажа, а встраиваются в глобальную распределённую сеть ретрансляции. Для этого злоумышленники разворачивают специализированный IIS-модуль ShadowPad Listener, который интегрируется в веб-сервер и незаметно перехватывает HTTP(S)-трафик. Каждый заражённый сервер становится узлом, способным принимать команды, пересылать их другим жертвам и проксировать соединения, тем самым расширяя инфраструктуру управления без использования выделенных C2-серверов.
Первичное проникновение в большинстве случаев осуществляется через давно известные, но всё ещё распространённые ошибки конфигурации IIS и SharePoint. Ink Dragon активно эксплуатирует уязвимости десериализации ASP.NET ViewState, используя предсказуемые или утёкшие machineKey-значения, что позволяет выполнять произвольный код. В ряде атак также применялась цепочка уязвимостей ToolShell в локальных установках Microsoft SharePoint , которая даёт возможность неаутентифицированного удалённого выполнения кода и установки веб-шеллов. Летом 2025 года группа проводила массовое сканирование на уязвимые SharePoint-серверы, что указывает на ранний доступ к эксплойтам.