В последние месяцы Китай, Гонконг и Пакистан оказались в эпицентре дерзкой кибератаки, стоящей за которой группа UNG0002 (или Unknown Group 0002). Эта атака затронула ключевые сферы и стала частью масштабной шпионской операции.
«Хакеры делают ставку на вредоносные LNK-файлы, скрипты на VBScript и профессиональные инструменты для взлома вроде Cobalt Strike и Metasploit. Чтобы завлечь жертв, они рассылают поддельные "резюме" и "анкеты" — якобы документы, которые на самом деле запускают вредоносный код», — рассказывает аналитик Subhajeet Singha из компании Seqrite Labs.
Вся деятельность группировки разделилась на две масштабные кампании: первая, Operation Cobalt Whisper, длилась с мая по сентябрь 2024 года; вторая, Operation AmberMist, стартовала в январе 2025 года.
Злоумышленники атаковали целый спектр отраслей: оборонную промышленность, энергетику, электротехнику, гражданскую авиацию, вузы, медучреждения, сферу кибербезопасности, гейминг и разработку ПО.
Операция Cobalt Whisper впервые попала в поле зрения экспертов в октябре 2024 года: они обнаружили, что через фишинговые письма распространяются ZIP-архивы с вирусами Cobalt Strike. Для доставки вредоносных программ использовались LNK- и VBScript-файлы.
«Масштаб и индивидуальный подход к жертвам выдают тщательно организованную атаку, цель которой — завладеть секретными технологиями и интеллектуальной собственностью в высокотехнологичных сферах», — подчёркивают эксперты.
При атаке AmberMist хакеры вновь использовали фишинговые рассылки: жертвы получали LNK-файлы под видом резюме, после чего запускалась цепочка заражения, приводившая к установке INET RAT и загрузчику Blister DLL.
С января 2025 года были выявлены и другие варианты атак: пользователей перенаправляли на фальшивые сайты, копирующие портал Министерства морских дел Пакистана. На этих страницах для проверки «CAPTCHA» скрытно запускались команды в PowerShell, чтобы активировать троян Shadow RAT.
Вирус Shadow RAT, который проникает на систему через DLL-загрузчики, устанавливает связь с управляющим сервером и дожидается новых указаний. INET RAT — усовершенствованный вариант Shadow RAT, а Blister DLL используется как загрузчик для доставки и запуска вредоносных программ с обратной связью к хакерам.
Хотя источник атак пока установить не удалось, все следы ведут к мощной и слаженной организации из Юго-Восточной Азии, специализирующейся на промышленном шпионаже.
«UNG0002 — один из самых изобретательных и устойчивых противников из Южной Азии. С мая 2024 года они постоянно совершенствуют свои инструменты, не меняя главного: каждая атака — это выверенная операция, рассчитанная на результат», — отмечает Синха.
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru