Государственная группа угроз скомпрометировала десятки сетей правительственных и критически важных инфраструктурных объектов в 37 странах в рамках глобальных операций под названием «Shadow Campaigns».
В период с ноября по декабрь прошлого года злоумышленник также проводил разведывательную деятельность, нацеленную на государственные структуры 155 стран.
По данным подразделения Unit 42 компании Palo Alto Networks, группа активна как минимум с января 2024 года, и есть высокая уверенность в том, что она действует из Азии. До момента окончательной атрибуции исследователи отслеживают злоумышленника как TGR-STA-1030/UNC6619.
Деятельность «Shadow Campaigns» в основном сосредоточена на министерствах, правоохранительных органах, пограничном контроле, финансовых, торговых, энергетических, горнодобывающих, иммиграционных и дипломатических ведомствах.
Исследователи Unit 42 подтвердили, что в результате атак были успешно скомпрометированы по меньшей мере 70 правительственных организаций и организаций критической инфраструктуры в 37 странах.
В их число входят организации, занимающиеся торговой политикой, геополитическими вопросами и выборами в Северной и Южной Америке; министерства и парламенты ряда европейских государств; Казначейство Австралии; а также государственные структуры и критическая инфраструктура Тайваня.
Список стран с целевыми или скомпрометированными организациями обширен и сосредоточен на определенных регионах с определенным временным интервалом, который, по-видимому, был обусловлен конкретными событиями.
Исследователи сообщают, что во время приостановки работы правительства США в октябре 2025 года злоумышленник проявлял повышенный интерес к сканированию объектов в Северной, Центральной и Южной Америке (Бразилия, Канада, Доминиканская Республика, Гватемала, Гондурас, Ямайка, Мексика, Панама и Тринидад и Тобаго).
Значительная разведывательная деятельность была обнаружена в отношении «по меньшей мере 200 IP-адресов, на которых размещена инфраструктура правительства Гондураса» всего за 30 дней до национальных выборов, поскольку оба кандидата заявляли о готовности восстановить дипломатические отношения с Тайванем.
Unit 42 оценивает, что группа угроз скомпрометировала следующие объекты:
- Министерство горнодобывающей промышленности и энергетики Бразилии
- сеть боливийской организации, связанной с горнодобывающей промышленностью
- два министерства Мексики
- государственная инфраструктура в Панаме
- IP-адрес, геолокационно относящийся к объекту Venezolana de Industria Tecnológica
- скомпрометированные государственные структуры на Кипре, в Чехии, Германии, Греции, Италии, Польше, Португалии и Сербии
- индонезийская авиакомпания
- несколько малазийских государственных департаментов и министерств
- монгольское правоохранительное ведомство
- крупный поставщик в тайваньской индустрии энергетического оборудования
- тайский государственный департамент (вероятно, для получения информации по экономическим вопросам и международной торговле)
- объекты критической инфраструктуры в Демократической Республике Конго, Джибути, Эфиопии, Намибии, Нигере, Нигерии и Замбии
Unit 42 также полагает, что TGR-STA-1030/UNC6619 пыталась установить соединение по SSH с инфраструктурой, связанной с Казначейством Австралии, Министерством финансов Афганистана и Канцелярией премьер-министра и Совета министров Непала.
Помимо этих компрометаций, исследователи обнаружили доказательства, указывающие на разведывательную деятельность и попытки взлома, нацеленные на организации в других странах.
Они сообщают, что злоумышленник сканировал инфраструктуру, связанную с правительством Чехии (армия, полиция, парламент, министерства внутренних дел, финансов, иностранных дел и веб-сайт президента).
Группа угроз также пыталась подключиться к инфраструктуре Европейского Союза, нацелившись на более чем 600 IP-адресов, размещающих домены *.europa.eu. В июле 2025 года группа сосредоточилась на Германии и инициировала соединения с более чем 490 IP-адресами, на которых размещались правительственные системы.
Цепочка атак «Shadow Campaigns»
Ранние операции опирались на тщательно подготовленные фишинговые электронные письма, отправленные государственным служащим, с приманками, обычно ссылающимися на внутренние реорганизационные усилия министерств.
В письмах содержались ссылки на вредоносные архивы с локализованными названиями, размещенные на сервисе хранения Mega.nz. Сжатые файлы содержали загрузчик вредоносного ПО под названием Diaoyu и PNG-файл размером ноль байт с именем pic1.png.
Исследователи Unit 42 обнаружили, что загрузчик Diaoyu при определенных условиях, эквивалентных проверкам уклонения от анализа, загружал полезные нагрузки Cobalt Strike и фреймворк VShell для управления и контроля (C2).
«Помимо аппаратного требования к горизонтальному разрешению экрана, равному или превышающему 1440, образец выполняет проверку зависимости от среды для конкретного файла (pic1.png) в каталоге выполнения», — говорят исследователи.
Они объясняют, что изображение размером ноль байт действует как проверка целостности на основе файлов. В его отсутствие вредоносное ПО завершает работу до проверки скомпрометированного хоста.
Для уклонения от обнаружения загрузчик ищет запущенные процессы следующих продуктов безопасности: Kaspersky, Avira, Bitdefender, Sentinel One и Norton (Symantec).
Помимо фишинга, TGR-STA-1030/UNC6619 также использовала по меньшей мере 15 известных уязвимостей для получения первоначального доступа. Unit 42 обнаружила, что злоумышленник использовал проблемы безопасности в SAP Solution Manager, Microsoft Exchange Server, D-Link и Microsoft Windows.
Новый руткит для Linux
Набор инструментов TGR-STA-1030/UNC6619, используемый для деятельности «Shadow Campaigns», обширен и включает веб-шеллы, такие как Behinder, Godzilla и Neo-reGeorg, а также инструменты сетевого туннелирования, такие как GO Simple Tunnel (GOST), Fast Reverse Proxy Server (FRPS) и IOX.
Однако исследователи также обнаружили пользовательский руткит ядра Linux на базе eBPF под названием «ShadowGuard», который, по их мнению, уникален для злоумышленника TGR-STA-1030/UNC6619.
«Бэкдоры eBPF печально известны своей сложностью обнаружения, поскольку они работают полностью внутри высокодоверенного пространства ядра», — объясняют исследователи.
«Это позволяет им манипулировать основными системными функциями и журналами аудита до того, как инструменты безопасности или приложения для мониторинга системы смогут увидеть реальные данные».
ShadowGuard скрывает информацию о вредоносных процессах на уровне ядра, скрывает до 32 PID от стандартных инструментов мониторинга Linux с помощью перехвата системных вызовов. Он также может скрывать от ручной проверки файлы и каталоги с именем swsecret.
Кроме того, вредоносное ПО имеет механизм, позволяющий оператору определять процессы, которые должны оставаться видимыми.
Инфраструктура, используемая в «Shadow Campaigns», опирается на серверы, ориентированные на жертв, с легитимными VPS-провайдерами в США, Сингапуре и Великобритании, а также на ретрансляционные серверы для обфускации трафика и резидентные прокси или Tor для проксирования.
Исследователи заметили использование C2-доменов, которые могли показаться знакомыми цели, например, использование домена верхнего уровня .gouv для франкоговорящих стран или домена dog3rj[.]tech в атаках на европейском пространстве.
«Возможно, название домена является отсылкой к ‘DOGE Jr’, которое имеет несколько значений в западном контексте, например, Департамент государственной эффективности США или название криптовалюты», — объясняют исследователи.
По данным Unit 42, TGR-STA-1030/UNC6619 представляет собой операционно зрелого актора шпионажа, который отдает приоритет стратегической, экономической и политической разведке и уже затронул десятки правительств по всему миру.
Отчет Unit 42 включает индикаторы компрометации (IoC) в конце отчета, чтобы помочь защитникам обнаружить и заблокировать эти атаки.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
