Хакеры взломали госорган в Азии и устроили там соревнование по шпионажу
NewsMakerНесколько групп шпионов одновременно взломали один и тот же госорган.
Несколько хакерских групп одновременно проникли в сеть одного госоргана в Юго-Восточной Азии и действовали там параллельно, словно не мешая друг другу. Картина получилась необычная: разные инструменты, разные подходы, но цель одна – закрепиться в системе и тихо выкачивать данные.
Специалисты из Unit 42 заметили подозрительную активность летом 2025 года. Сначала речь шла об операции группы Stately Taurus, которая распространяла вредоносное ПО через флешки. Заражённый носитель приносил в систему программу USBFect, известную также как HIUPAN. После запуска программа устанавливала бэкдор PUBLOAD и начинала заражать другие компьютеры в сети.
Вредоносная программа отслеживала подключение съёмных накопителей и копировала себя на них, превращая обычные флешки в инструмент атаки. Через PUBLOAD злоумышленники собирали данные о системе – имя компьютера, пользователя, параметры дисков – шифровали их и отправляли на управляющий сервер. Активность продолжалась больше двух месяцев, до середины августа.
Параллельно в той же сети работали ещё две группы, которые получили обозначения CL-STA-1048 и CL-STA-1049. Их подход заметно отличался.
Несколько хакерских групп одновременно проникли в сеть одного госоргана в Юго-Восточной Азии и действовали там параллельно, словно не мешая друг другу. Картина получилась необычная: разные инструменты, разные подходы, но цель одна – закрепиться в системе и тихо выкачивать данные.
Специалисты из Unit 42 заметили подозрительную активность летом 2025 года. Сначала речь шла об операции группы Stately Taurus, которая распространяла вредоносное ПО через флешки. Заражённый носитель приносил в систему программу USBFect, известную также как HIUPAN. После запуска программа устанавливала бэкдор PUBLOAD и начинала заражать другие компьютеры в сети.
Вредоносная программа отслеживала подключение съёмных накопителей и копировала себя на них, превращая обычные флешки в инструмент атаки. Через PUBLOAD злоумышленники собирали данные о системе – имя компьютера, пользователя, параметры дисков – шифровали их и отправляли на управляющий сервер. Активность продолжалась больше двух месяцев, до середины августа.
Параллельно в той же сети работали ещё две группы, которые получили обозначения CL-STA-1048 и CL-STA-1049. Их подход заметно отличался.