Кибергруппировка из Азии провела шпионскую кампанию против 37 стран, скомпрометировав правительственные и критически важные объекты. Их инструментарий включает новый руткит для ядра Linux ShadowGuard. — theregister.com
Азиатская кибергруппировка, связанная с государством, в ходе продолжающейся кампании шпионажа скомпрометировала правительственные организации и объекты критической инфраструктуры в 37 странах, согласно исследованию специалистов по безопасности.
В общей сложности группировка скомпрометировала не менее 70 организаций и сохраняла доступ к некоторым из них в течение нескольких месяцев.
«Хотя эта группа может преследовать шпионские цели, ее методы, цели и масштабы операций вызывают тревогу и могут иметь долгосрочные последствия для национальной безопасности и ключевых служб», — заявили аналитики Unit 42 компании Palo Alto Networks в исследовании, опубликованном в среду.
Среди успешных взломов — пять национальных полицейских или пограничных служб, парламент одной из стран, высокопоставленный выборный должностное лицо и национальные телекоммуникационные компании. Шпионы также проникли в системы трех министерств финансов и других государственных ведомств.
«Palo Alto Networks Unit 42 подтвердила, что злоумышленник успешно получил доступ к конфиденциальным данным с серверов электронной почты жертв и извлек их», — сообщил The Register Пит Ренальс, директор программ национальной безопасности Unit 42. «Это включало финансовые переговоры и контракты, банковскую информацию и данные счетов, а также критически важные обновления оперативной деятельности, связанные с вооруженными силами».
Ренальс отметил, что команда киберрасследований не связывает эти цифровые вторжения с какой-либо конкретной азиатской страной.
Агентство по кибербезопасности и защите инфраструктуры осведомлено о хакерской группе, идентифицированной Palo Alto Networks как TGR-STA-1030.
Unit 42 отслеживает новую группу под кодовым названием TGR-STA-1030 и сообщает, что с ноября по декабрь 2025 года специалисты также наблюдали за «активной разведкой», проводимой шпионами против 155 правительств в Северной и Южной Америке, Европе, Азии и Африке. Исследователи также задокументировали «целенаправленную активность» в отношении Германии в июле 2025 года, в ходе которой шпионы инициировали соединения с более чем 490 IP-адресами, на которых размещалась правительственная инфраструктура.
Хотя Ренальс отказался предоставить подробности о конкретных объектах разведки в США, он отметил: «В целом, мы видели, что злоумышленник регулярно фокусировался на министерствах финансов, экономики, обороны, иностранных дел и торговли».
ФБР не ответило на наши запросы о комментарии, но Агентство по кибербезопасности и защите инфраструктуры США (CISA) подтвердило, что также отслеживает эту кибершпионскую группировку.
«Агентство по кибербезопасности и защите инфраструктуры осведомлено о хакерской группе, идентифицированной Palo Alto Networks как TGR-STA-1030», — сообщил The Register представитель CISA. «Мы работаем с нашими правительственными, отраслевыми и международными партнерами для быстрого обнаружения и смягчения последствий любой эксплуатации уязвимостей, выявленных в отчете».
Кибершпионы используют фишинговые электронные письма и известные уязвимости в продуктах Microsoft Exchange, SAP и Atlassian для получения первоначального доступа к организациям-жертвам.
В феврале 2025 года Unit 42 обнаружила фишинговые кампании, нацеленные на европейские правительства, с использованием приманок, связанных с реорганизацией министерств или департаментов, которые включали ссылки на вредоносные файлы, размещенные на mega[.]nz. Охотники за угрозами отмечают, что одно эстонское государственное учреждение также зафиксировало эту кампанию и загрузило связанный ZIP-архив на репозиторий вредоносных программ VirusTotal.
Название файла на эстонском языке переводится как «Изменения в организационной структуре Управления полиции и пограничной охраны».
Unit 42 проанализировала содержимое архива и обнаружила, что он содержит загрузчик вредоносного ПО с оригинальным названием «DiaoYu.exe». Это переводится как «рыбалка» или, в данном контексте, фишинг. В то время как большинство загрузчиков проверяют десятки антивирусных продуктов, этот проверяет только пять: Kaspersky, Avira, Bitdefender, SentinelOne и Symantec.
Это обеспечивает минимальный размер кода вредоносного ПО и может помочь ему избежать обнаружения фильтрами безопасности.
Расследование также выявило новый руткит для ядра Linux под названием ShadowGuard, который, как полагают, уникален для этой конкретной государственной группы. Это скрытный бэкдор на базе Extended Berkeley Packet Filter (eBPF), который скрывает информацию о процессах, каталогах и файлах на уровне ядра, что затрудняет обнаружение.
TGR-STA-1030 также использовала реальные геополитические события в своих кампаниях, включая приостановку работы правительства США, начавшуюся в октябре 2025 года — в этот период Unit 42 наблюдала, как шпионы сканировали правительственную инфраструктуру в Северной, Центральной и Южной Америке.
В другом случае, как сообщают исследователи, в августе 2025 года президент Чехии Петр Павел в частном порядке встретился с Далай-ламой во время поездки в Индию, и в последующие недели группа шпионов начала сканировать чешскую инфраструктуру, включая армию, полицию, парламент, а также министерства внутренних дел, финансов и иностранных дел.
Кроме того, вскоре после 3 января, когда американская военная операция привела к захвату венесуэльского президента Николаса Мадуро и его жены, шпионы провели «масштабные разведывательные мероприятия, нацеленные как минимум на 140 государственных IP-адресов», согласно данным Unit 42.
Эта новая государственная группа «остается активной угрозой для правительств и критической инфраструктуры по всему миру», — заявили исследователи. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons