Ждешь обновления от Apple, а прилетает вирус из Китая. Так теперь хакеры обманывают целые корпорации
NewsMakerПреступники заставили легальные программы качать вирусы.
Китайская группировка Twill Typhoon, по данным Darktrace, снова использует чужие «вывески» в интернете, чтобы незаметно доставлять вредоносные файлы в сети организаций. Злоумышленники маскировали свои серверы под службы доставки содержимого Yahoo и Apple, а затем загружали на зараженные компьютеры легальные программы вместе с вредоносными библиотеками.
Активность заметили с конца сентября 2025 года. В основном атаки затронули клиентов в Азиатско-Тихоокеанском регионе и Японии. Во всех случаях Darktrace видела похожую цепочку: сначала компьютер скачивал легальный исполняемый файл, затем файл настроек с тем же именем, после чего загружалась вредоносная библиотека DLL. Такой прием позволяет запустить вредоносный код внутри доверенного процесса и скрыть атаку среди обычной работы системы.
Darktrace связывает кампанию с Twill Typhoon со средней степенью уверенности. Специалисты указывают на совпадения с ранее описанными операциями группировки, включая использование бэкдора FDMTP, подмену DLL и пересекающуюся инфраструктуру. Как злоумышленники получали первый доступ, компания не установила, но в прошлых атаках Twill Typhoon часто использовала целевой фишинг.
В нескольких случаях зараженные системы обращались к адресу /GetCluster с параметром protocol=Dotnet-Tcpdmtp. После такой регистрации компьютеры снова загружали DLL с того же внешнего узла. В апреле 2026 года похожую активность нашли на компьютере в финансовой организации: устройство 11 дней обращалось к домену yahoo-cdn[.]it[.]com, скачивая vshost.exe, dfsvc.exe, файлы настроек и вредоносные компоненты.
В одном из архивов Darktrace нашла легальный файл biz_render.exe, связанный с китайским средством ввода Sogou Pinyin, и вредоносную библиотеку browser_host.dll. Легальная программа должна загружать библиотеку с таким именем, чем и воспользовались атакующие. Подложенная DLL перехватывала выполнение и запускала вредоносный код внутри доверенного процесса.
Дальше вредоносная программа подключала среду выполнения .NET и загружала основной модуль прямо в память. При регистрации на управляющем сервере она отправляла запрос /GetCluster и получала список адресов для дальнейшей связи. Ответ передавался в сжатом и закодированном виде.
В кампании также использовали легитимный компонент Windows ClickOnce dfsvc.exe и процесс Visual Studio vshost.exe. Злоумышленники подменяли файл настроек dfsvc.exe.config, отключали журналирование и заставляли приложение загружать вредоносную библиотеку dnscfg.dll с удаленного сервера. Для закрепления в системе создавалась запланированная задача, запускавшая dfsvc.exe из каталога пользователя.
Основной модуль dnscfg.dll оказался .NET-библиотекой Client.TcpDmtp.dll. По данным Darktrace, перед специалистами была обновленная версия бэкдора FDMTP 3.2.5.1. Вредоносная программа поддерживает постоянную связь с управляющим сервером, проверяет токены, получает команды и запускает дополнительные модули через протокол DMTP.
Внутри бэкдора нашли несколько сжатых библиотек. Одна из них собирает сведения о системе, включая антивирусы, домен, версию .NET, права администратора, данные об оборудовании, сети, операционной системе и пользователе. Другая отвечает за связь с сервером, повторные подключения и хранение подключаемых модулей в реестре Windows по пути HKCU\Software\Microsoft\IME{id}.
Darktrace удалось выделить четыре модуля. Persist.WpTask.dll управляет запланированными задачами Windows, Persist.registry.dll отвечает за закрепление через реестр, Persist.extra.dll загружает и сохраняет основной вредоносный каркас, а Assist.dll помогает получать файлы, выполнять команды и управлять процессами.
Отдельный компонент каждые пять минут связывался с icloud-cdn[.]net, проверял версию, скачивал зашифрованный файл checksum.bin, сохранял его как C:\ProgramData\USOShared\Logs\checksum.etl, расшифровывал и загружал в память как сборку .NET. Такой механизм позволял атакующим обновлять основной бэкдор без записи обычного исполняемого файла на диск.
Darktrace считает, что защита по отдельным адресам и именам файлов быстро теряет эффективность, потому что инфраструктура и полезная нагрузка меняются. Более надежный подход, по оценке компании, заключается в поиске повторяющейся цепочки поведения: загрузка легальной программы, подмена DLL, регистрация на управляющем сервере и последующая загрузка модулей.
Китайская группировка Twill Typhoon, по данным Darktrace, снова использует чужие «вывески» в интернете, чтобы незаметно доставлять вредоносные файлы в сети организаций. Злоумышленники маскировали свои серверы под службы доставки содержимого Yahoo и Apple, а затем загружали на зараженные компьютеры легальные программы вместе с вредоносными библиотеками.
Активность заметили с конца сентября 2025 года. В основном атаки затронули клиентов в Азиатско-Тихоокеанском регионе и Японии. Во всех случаях Darktrace видела похожую цепочку: сначала компьютер скачивал легальный исполняемый файл, затем файл настроек с тем же именем, после чего загружалась вредоносная библиотека DLL. Такой прием позволяет запустить вредоносный код внутри доверенного процесса и скрыть атаку среди обычной работы системы.
Darktrace связывает кампанию с Twill Typhoon со средней степенью уверенности. Специалисты указывают на совпадения с ранее описанными операциями группировки, включая использование бэкдора FDMTP, подмену DLL и пересекающуюся инфраструктуру. Как злоумышленники получали первый доступ, компания не установила, но в прошлых атаках Twill Typhoon часто использовала целевой фишинг.
В нескольких случаях зараженные системы обращались к адресу /GetCluster с параметром protocol=Dotnet-Tcpdmtp. После такой регистрации компьютеры снова загружали DLL с того же внешнего узла. В апреле 2026 года похожую активность нашли на компьютере в финансовой организации: устройство 11 дней обращалось к домену yahoo-cdn[.]it[.]com, скачивая vshost.exe, dfsvc.exe, файлы настроек и вредоносные компоненты.
В одном из архивов Darktrace нашла легальный файл biz_render.exe, связанный с китайским средством ввода Sogou Pinyin, и вредоносную библиотеку browser_host.dll. Легальная программа должна загружать библиотеку с таким именем, чем и воспользовались атакующие. Подложенная DLL перехватывала выполнение и запускала вредоносный код внутри доверенного процесса.
Дальше вредоносная программа подключала среду выполнения .NET и загружала основной модуль прямо в память. При регистрации на управляющем сервере она отправляла запрос /GetCluster и получала список адресов для дальнейшей связи. Ответ передавался в сжатом и закодированном виде.
В кампании также использовали легитимный компонент Windows ClickOnce dfsvc.exe и процесс Visual Studio vshost.exe. Злоумышленники подменяли файл настроек dfsvc.exe.config, отключали журналирование и заставляли приложение загружать вредоносную библиотеку dnscfg.dll с удаленного сервера. Для закрепления в системе создавалась запланированная задача, запускавшая dfsvc.exe из каталога пользователя.
Основной модуль dnscfg.dll оказался .NET-библиотекой Client.TcpDmtp.dll. По данным Darktrace, перед специалистами была обновленная версия бэкдора FDMTP 3.2.5.1. Вредоносная программа поддерживает постоянную связь с управляющим сервером, проверяет токены, получает команды и запускает дополнительные модули через протокол DMTP.
Внутри бэкдора нашли несколько сжатых библиотек. Одна из них собирает сведения о системе, включая антивирусы, домен, версию .NET, права администратора, данные об оборудовании, сети, операционной системе и пользователе. Другая отвечает за связь с сервером, повторные подключения и хранение подключаемых модулей в реестре Windows по пути HKCU\Software\Microsoft\IME{id}.
Darktrace удалось выделить четыре модуля. Persist.WpTask.dll управляет запланированными задачами Windows, Persist.registry.dll отвечает за закрепление через реестр, Persist.extra.dll загружает и сохраняет основной вредоносный каркас, а Assist.dll помогает получать файлы, выполнять команды и управлять процессами.
Отдельный компонент каждые пять минут связывался с icloud-cdn[.]net, проверял версию, скачивал зашифрованный файл checksum.bin, сохранял его как C:\ProgramData\USOShared\Logs\checksum.etl, расшифровывал и загружал в память как сборку .NET. Такой механизм позволял атакующим обновлять основной бэкдор без записи обычного исполняемого файла на диск.
Darktrace считает, что защита по отдельным адресам и именам файлов быстро теряет эффективность, потому что инфраструктура и полезная нагрузка меняются. Более надежный подход, по оценке компании, заключается в поиске повторяющейся цепочки поведения: загрузка легальной программы, подмена DLL, регистрация на управляющем сервере и последующая загрузка модулей.