Как стать кибершпионом за выходные. Рецепт от Китая: просроченный домен, хостинг в США и немного маскировки
NewsMakerАнализ вредоносного ПО PlugX выявил связь между хакерскими кампаниями в Европе и Азии.
Пока большинство компаний обсуждает очередные уязвимости, несколько китайских хакерских групп тихо разворачивают инфраструктуру для шпионских операций. Анализ новых образцов вредоносной программы PlugX показал сеть доменов и серверов, которую используют Mustang Panda, UNC6384 и RedDelta. Часть адресов до сих пор не фигурировала в открытых отчётах.
Специалисты Cyber and Ramen обнаружили 14 доменов, связанных с продолжающейся шпионской активностью. Все домены ведут к инфраструктуре управления заражёнными системами. Операторы предпочитают регистрировать просроченные доменные имена, размещать их на виртуальных серверах автономной системы 149440, принадлежащей Evoxt Enterprise, а затем прятать реальные серверы за защитой Cloudflare. Регистрацию выполняют через NameCheap и NameSilo, почти всегда с включённой защитой данных владельца.
PlugX относится к троянам удалённого управления. Вредоносная программа существует больше десяти лет и регулярно появляется в кампаниях, связанных с китайскими хакерскими группами. Такие атаки обычно направлены против государственных структур, дипломатических миссий и общественных организаций. Первые кампании затрагивали страны Юго-Восточной Азии, но позже атаки распространились на Европу и другие регионы.
Летом 2025 года подразделение Google по анализу угроз связало многоступенчатую шпионскую операцию с группой UNC6384. Кампания началась с рассылки загрузчика STATICPLUGIN с цифровой подписью. После запуска загрузчик устанавливал PlugX. Аналитики Google обнаружили, что UNC6384 и Mustang Panda используют пересекающиеся серверы управления и распространяют одну и ту же модификацию вредоносной программы, известную как SOGU.SEC.
Пока большинство компаний обсуждает очередные уязвимости, несколько китайских хакерских групп тихо разворачивают инфраструктуру для шпионских операций. Анализ новых образцов вредоносной программы PlugX показал сеть доменов и серверов, которую используют Mustang Panda, UNC6384 и RedDelta. Часть адресов до сих пор не фигурировала в открытых отчётах.
Специалисты Cyber and Ramen обнаружили 14 доменов, связанных с продолжающейся шпионской активностью. Все домены ведут к инфраструктуре управления заражёнными системами. Операторы предпочитают регистрировать просроченные доменные имена, размещать их на виртуальных серверах автономной системы 149440, принадлежащей Evoxt Enterprise, а затем прятать реальные серверы за защитой Cloudflare. Регистрацию выполняют через NameCheap и NameSilo, почти всегда с включённой защитой данных владельца.
PlugX относится к троянам удалённого управления. Вредоносная программа существует больше десяти лет и регулярно появляется в кампаниях, связанных с китайскими хакерскими группами. Такие атаки обычно направлены против государственных структур, дипломатических миссий и общественных организаций. Первые кампании затрагивали страны Юго-Восточной Азии, но позже атаки распространились на Европу и другие регионы.
Летом 2025 года подразделение Google по анализу угроз связало многоступенчатую шпионскую операцию с группой UNC6384. Кампания началась с рассылки загрузчика STATICPLUGIN с цифровой подписью. После запуска загрузчик устанавливал PlugX. Аналитики Google обнаружили, что UNC6384 и Mustang Panda используют пересекающиеся серверы управления и распространяют одну и ту же модификацию вредоносной программы, известную как SOGU.SEC.