В июне 2022 года сотрудники нескольких российских компаний, в том числе ИТ-отдела, получили вредоносное электронное письмо. За атаками с использованием вредоносных писем в сфере информационной безопасности стоят китайские хакеры из Team Tim Tonto, также известные как HeartBeat, Karma Panda, CactusPete и др.
По данным Group-IB, используемая компанией система Managed XDR выдала оповещение о блокировке вредоносных электронных сообщений уже 20 июня. На тот момент было установлено получение таких писем двумя сотрудниками компаний, но в получателях также значились десятки представителей ведущих IT- и ИБ-компаний. При этом о каких именно компаниях идёт речь, всё же сказано не было. В сообщении говорится, что целью хакеров стали сотрудники «телеком-операторов, разработчиков программного обеспечения, вендоры, один известный поисковик».
Для отправки вредоносных электронных писем злоумышленники используют поддельные электронные письма, зарегистрированные в бесплатной службе Global Message eXchange. Эксперты IB Group провели независимое расследование инцидента, в ходе которого им удалось получить от команды Тонто доказательства того, что к атаке причастны хакеры.
В компании пояснили, что хакеры использовали фишинговые письма для рассылки документов Microsoft Office, созданных с помощью компоновщика вредоносных RTF-эксплойтов Royal Road Weaponizer. Отмечается, что этот инструмент уже давно используют китайские прогосударственные хакеры. Помимо этого, специалисты обнаружили бэкдор Bisonal.DoubleT, созданный членами группировки Tonto Team.