В течение нескольких месяцев киберпреступники успешно внедряли вредоносное программное обеспечение в корпоративные сети стран Азиатско-Тихоокеанского региона и Японии. Чтобы не привлекать внимание систем безопасности, они маскировали свою активность под легитимный трафик, имитируя инфраструктуру доставки контента (CDN) таких гигантов, как Apple и Yahoo. Первые признаки этой сложной кампании были зафиксированы аналитиками ещё в конце сентября 2025 года.
Схема атаки строилась на использовании доверенных процессов Windows. В ходе операции злоумышленники применяли метод, известный как загрузка сторонних библиотек (DLL sideloading). Жертва скачивала подлинный исполняемый файл – например, связанные с Microsoft .NET и Visual Studio файлы dfsvc.exe или vshost.exe. В одном из зафиксированных случаев фигурировал легитимный файл Sou P, за которым подтягивался конфигурационный файл и вредоносная динамическая библиотека browser_host.dll. Эта библиотека перехватывала управление и внедряла модульный троян удалённого доступа (RAT) прямо внутрь доверенного процесса.
Для связи с командными серверами хакеры использовали домены, визуально похожие на настоящие сервисы Apple и Yahoo, в частности icloud-cdn[.]net. Анализируя специфику вредоносного ПО, исследователи с умеренной степенью уверенности связывают эту активность с китайской хакерской группировкой Twill Typhoon. Эксперты отмечают, что традиционные «чёрные списки» в этом случае оказались бесполезны: из-за узнаваемых имён инфраструктуры и применения легитимных системных инструментов вредоносная активность выглядела как стандартный корпоративный трафик. Выявить угрозу удалось лишь благодаря тщательному анализу всей цепочки исполнения.
В качестве полезной нагрузки выступала обновлённая версия бэкдор-фреймворка FDMTP. Регистрация на серверах управления происходила через конечную точку /GetCluster с использованием DMTP-трафика. Вредоносная программа отличалась высокой степенью скрытности: применялась расшифровка во время выполнения, а также закрепление плагинов через ключи реестра, что позволяло злоумышленникам сохранять длительный доступ к заражённым системам в различных средах .NET.
Несмотря на эксплуатацию бренда Apple, рядовым пользователям macOS эта атака угрожает в меньшей степени. Для базовой защиты экосистемы Apple достаточно регулярно обновлять операционную систему – встроенные механизмы Gatekeeper, XProtect и система нотаризации приложений успешно справляются с подобными угрозами. Главной мишенью остаются разработчики и корпоративный сектор, которые наиболее уязвимы для атак на цепочки поставок программного обеспечения. Специалисты по безопасности (в том числе из компании Darktrace, обнаружившей угрозу) настоятельно рекомендуют корпорациям внедрять многофакторную аутентификацию, строго контролировать аккаунты разработчиков и тщательно проверять используемые npm-пакеты.
Мнение редакции
Эта история – отличная иллюстрация того, как незаметно, но радикально меняются правила игры в кибербезопасности. Мы привыкли бояться фишинговых писем с кривыми шрифтами и сомнительными ссылками, но сегодня главная угроза исходит от того, чему мы доверяем больше всего. Хакеры больше не пытаются проломить стену грубой силой – они надевают форму инкассаторов и совершенно спокойно проходят через главный вход. Использование имён Apple и Yahoo для маскировки трафика показывает, что корпоративный сектор оказался в заложниках у собственной «слепоты» к известным брендам.
Очевидно, что традиционные антивирусные системы защиты, опирающиеся на прямолинейные «чёрные списки», окончательно устарели. Когда вредоносный код прячется внутри легитимных процессов Windows и общается через поддельные CDN-серверы, остановить его может только глубокий поведенческий анализ всей сети. Вероятно, пока крупные компании не перейдут на концепцию «нулевого доверия» (Zero Trust), где даже знакомый трафик рассматривается под микроскопом, подобные скрытые кампании будут продолжаться годами, оставаясь абсолютно невидимыми для корпоративных радаров.