Python, PowerShell и немного наглости: рецепт идеальной кибератаки от группы Confucius
NewsMakerУже 12 лет одна и та же банда грабит один и тот же регион. Почему жертвы не в силах ничего предпринять?
Хакерская группа Confucius, действующая в Южной Азии как минимум с 2013 года, продолжает масштабную вредоносную активность против организаций в Пакистане. Специалисты Fortinet зафиксировали новую волну атак, в рамках которой использовались два набора вредоносного ПО — WooperStealer и Anondoor.
Основной целью вновь стали военные структуры, государственные учреждения и ключевые отрасли страны. Коллектив по-прежнему применяет фишинг с вредоносными вложениями как основной метод проникновения в инфраструктуру.
Атаки, проведённые в декабре 2024 года, начинались с открытия получателем файла формата .PPSX, после чего происходила загрузка WooperStealer. Злоумышленники задействовали технику DLL side-loading, при которой вредоносная библиотека маскируется под легитимную и исполняется в контексте доверенного процесса.
В марте 2025 года была зафиксирована ещё одна волна, где применялись ярлыки .LNK, вновь запускавшие WooperStealer через подгрузку DLL для кражи конфиденциальных данных с заражённого устройства.
Аналогичный метод был применён и в августе, но в этот раз вместо инфостилера жертве доставлялся Anondoor — полноценная удалённая оболочка на Python. Она передаёт сведения об устройстве на удалённый сервер и может выполнять дополнительные команды, включая снятие скриншотов, инвентаризацию файловой системы и извлечение паролей из браузера Chrome.
Ещё в июле 2025 года китайская команда KnownSec 404 из проекта Seebug опубликовала отчёт о применении Anondoor, указывая на переход участников от точечного сбора данных к скрытому присутствию в системе.
Специалисты Fortinet подчёркивают, что структура демонстрирует высокую адаптивность, регулярно меняя инфраструктуру, методики обхода защиты и состав инструментов. Это позволяет сохранять работоспособность и повышать эффективность атак при смене целей.
Постоянная эволюция средств — от инфостилеров к бэкдорам — говорит о росте интереса к долговременному наблюдению и устойчивому закреплению в системах жертв.
Одновременно с этим команда K7 Security Labs сообщила о новой атаке, связанной с другим участником кибершпионажа — группой Patchwork. Здесь вредоносный макрос загружал ярлык .LNK, в котором был встроен PowerShell-скрипт. Он обеспечивал загрузку основного вредоносного модуля и параллельно открывал подставной PDF-документ.
Финальная нагрузка подключалась к командному серверу, собирала сведения о системе и получала зашифрованные команды для выполнения через cmd.exe. Дополнительно обеспечивались функции съёма скриншотов, выгрузки файлов с устройства и загрузки новых компонентов с удалённого источника. Обнаруженные образцы также включали механизм повторной передачи информации до 20 раз с отслеживанием неудачных попыток, что позволяло сохранять скрытность при выведении данных.
Хакерская группа Confucius, действующая в Южной Азии как минимум с 2013 года, продолжает масштабную вредоносную активность против организаций в Пакистане. Специалисты Fortinet зафиксировали новую волну атак, в рамках которой использовались два набора вредоносного ПО — WooperStealer и Anondoor.
Основной целью вновь стали военные структуры, государственные учреждения и ключевые отрасли страны. Коллектив по-прежнему применяет фишинг с вредоносными вложениями как основной метод проникновения в инфраструктуру.
Атаки, проведённые в декабре 2024 года, начинались с открытия получателем файла формата .PPSX, после чего происходила загрузка WooperStealer. Злоумышленники задействовали технику DLL side-loading, при которой вредоносная библиотека маскируется под легитимную и исполняется в контексте доверенного процесса.
В марте 2025 года была зафиксирована ещё одна волна, где применялись ярлыки .LNK, вновь запускавшие WooperStealer через подгрузку DLL для кражи конфиденциальных данных с заражённого устройства.
Аналогичный метод был применён и в августе, но в этот раз вместо инфостилера жертве доставлялся Anondoor — полноценная удалённая оболочка на Python. Она передаёт сведения об устройстве на удалённый сервер и может выполнять дополнительные команды, включая снятие скриншотов, инвентаризацию файловой системы и извлечение паролей из браузера Chrome.
Ещё в июле 2025 года китайская команда KnownSec 404 из проекта Seebug опубликовала отчёт о применении Anondoor, указывая на переход участников от точечного сбора данных к скрытому присутствию в системе.
Специалисты Fortinet подчёркивают, что структура демонстрирует высокую адаптивность, регулярно меняя инфраструктуру, методики обхода защиты и состав инструментов. Это позволяет сохранять работоспособность и повышать эффективность атак при смене целей.
Постоянная эволюция средств — от инфостилеров к бэкдорам — говорит о росте интереса к долговременному наблюдению и устойчивому закреплению в системах жертв.
Одновременно с этим команда K7 Security Labs сообщила о новой атаке, связанной с другим участником кибершпионажа — группой Patchwork. Здесь вредоносный макрос загружал ярлык .LNK, в котором был встроен PowerShell-скрипт. Он обеспечивал загрузку основного вредоносного модуля и параллельно открывал подставной PDF-документ.
Финальная нагрузка подключалась к командному серверу, собирала сведения о системе и получала зашифрованные команды для выполнения через cmd.exe. Дополнительно обеспечивались функции съёма скриншотов, выгрузки файлов с устройства и загрузки новых компонентов с удалённого источника. Обнаруженные образцы также включали механизм повторной передачи информации до 20 раз с отслеживанием неудачных попыток, что позволяло сохранять скрытность при выведении данных.