- Сообщения
- 8.320
- Реакции
- 10.999
В этой статье мы поверхностно рассматриваем китайские хакерские группы (PRC‑nexus) как экосистему: от государственных подразделений и подрядчиков до полукриминальных «артелей», работающих на пересечении кибершпионажа, киберпреступности и тенеового подряда.
• APT10 / Cloud Hopper: масштабная шпионская кампания через провайдеров управляемых сервисов (MSP) с 2014–2017 гг.; совместные технические отчёты PwC/BAE и NCSC UK.
• APT41 (Wicked Panda/Winnti): редкая группа смешанной мотивации - шпионаж + финансовые атаки (игровая индустрия, крипта, вымогательство).
• APT31 (Zirconium/Judgement Panda): в 2024 г. Великобритания и США объявили санкции против связанных лиц и структур за кампании против политиков и институтов;
• Подрядная «биржа»: утечка i‑SOON (Anxun) в феврале 2024 пролила свет на прайс‑листы, внутренние чаты и портфолио задач - от слежки за диаспорами до фишинговых наборов.
Модель с подрядчиками объясняет, почему у разных «кластеров» пересекаются инструменты (PlugX, ShadowPad, RoyalRoad) и инфраструктура: библиотека средств общая, а команды/бригады - меняются по контрактам.
• Operation Soft Cell (2019 →): технический отчёт с картой TTP по телеком‑ядру (долгая персистентность, lateral movement, кража метаданных).
•
Критическая инфраструктура (living‑off‑the‑land). С 2023–2025 множество публикаций о Volt Typhoon: скрытность, почти полное отсутствие «малвари», опора на встроенные админ‑утилиты, пауэршелл и туннелирование - с упором на подготовку к возможным кризисным сценариям.
• Смежный кейс о «прикрывающем» ботнете SOHO‑роутеров (KV): операция США по его сносу, 31.01.2024 -
• HAFNIUM → Exchange (2021):
• Cloud Hopper (APT10): целенаправленная компрометация MSP для «цепной» персистентности у множества клиентов:
• RoyalRoad (8.t) RTF Builder - «фирменный» генератор вредоносных RTF, встречается у множества PRC‑кластеров для первичных загрузчиков (часто цепляется к дипломатическим темам).
Бэкдоры и RAT.
• PlugX (множественные ветки), QuasarRAT (варианты), ShadowPad -
• «Зонтичные» наборы Winnti: модули для краденых сертификатов, инжекторы и лоадеры, встречающиеся и в supply‑chain кейсах (ASUS Live Update/ShadowHammer и др.; см. обзор по ссылке выше).
Легит‑инструменты «как есть». Cobalt Strike, SharpHound/BloodHound, fscan, PowerShell Remoting, RDP - характерная зависимость от «чистых» админ‑инструментов как у Volt Typhoon, так и у других групп; это усложняет детект.
• ASUS Live Update / ShadowHammer (2018–2019): поставочный взлом утилит обновления, адресный «таргет» по MAC‑адресам.
• NoxPlayer / Operation NightScout (2021): цепочка поставки для эмулятора Android, использована для адресных атак; техдетали.
• Криптодобыча в облаках у китайскоязычных акторов описана множеством вендоров (8220 Gang и др.); в этих кейсах злоумышленники действуют ближе к «киберпреступникам» (скан/эксплойт облачных сервисов → майнинг), но лингвистическая и инфраструктурная связь с PRC‑сценой прослеживается.
Если вас интересуют эта область знаний и вы хотите подробнее разобраться, то пишите в комментариях - будем разбирать, а при необходимости и статью запилим)
Материалы созданы исключительно в познавательных целях и мы не рекомендуем нарушать законодательства любой страны! Автор не имеет конфликта интересов, статья подготовлена на основе открытых данных и рецензируемых публикаций, перечисленных по ходу текста. При создании статьи, так же использовался ИИ, как часть процесса. Материал проверен, перед публикацией редактором - человеком! Нажимай на изображение, там ты найдешь все информационные ресурсы A&N
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Экосистема: кто «игроки» и как они взаимодействуют
Государство и подрядчики. В публичных источниках китайские группы часто обозначаются метками APT (APT10, APT31, APT41, APT40, APT27 и др.) или коммерческими именами (Mustang Panda/TA416, Winnti Umbrella и т.п.). Существенная часть операций выполняется через подрядные фирмы, что
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
, так и утечками из самих подрядчиков (см. утечки i‑SOON в 2024 году).• APT10 / Cloud Hopper: масштабная шпионская кампания через провайдеров управляемых сервисов (MSP) с 2014–2017 гг.; совместные технические отчёты PwC/BAE и NCSC UK.
• APT41 (Wicked Panda/Winnti): редкая группа смешанной мотивации - шпионаж + финансовые атаки (игровая индустрия, крипта, вымогательство).
• APT31 (Zirconium/Judgement Panda): в 2024 г. Великобритания и США объявили санкции против связанных лиц и структур за кампании против политиков и институтов;
• Подрядная «биржа»: утечка i‑SOON (Anxun) в феврале 2024 пролила свет на прайс‑листы, внутренние чаты и портфолио задач - от слежки за диаспорами до фишинговых наборов.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Модель с подрядчиками объясняет, почему у разных «кластеров» пересекаются инструменты (PlugX, ShadowPad, RoyalRoad) и инфраструктура: библиотека средств общая, а команды/бригады - меняются по контрактам.
Главные тематические фронты: телеком, критическая инфраструктура, облака
Телекомы (долгая игра). Наблюдается многолетняя системная работа против операторов связи в Азии, Европе и Ближнем Востоке: кража CDR/SS7, доступ к сетевым контроллерам, создание «скрытых» учёток.• Operation Soft Cell (2019 →): технический отчёт с картой TTP по телеком‑ядру (долгая персистентность, lateral movement, кража метаданных).
•
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Краткий обзор кампании.Критическая инфраструктура (living‑off‑the‑land). С 2023–2025 множество публикаций о Volt Typhoon: скрытность, почти полное отсутствие «малвари», опора на встроенные админ‑утилиты, пауэршелл и туннелирование - с упором на подготовку к возможным кризисным сценариям.
• Смежный кейс о «прикрывающем» ботнете SOHO‑роутеров (KV): операция США по его сносу, 31.01.2024 -
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
.• HAFNIUM → Exchange (2021):
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
; Параллельно CISA выпускала экстренные директивы и IOC.• Cloud Hopper (APT10): целенаправленная компрометация MSP для «цепной» персистентности у множества клиентов:
Инструменты и «подпись» (TTP): от RoyalRoad до ShadowPad
Билдеры и эксплойты.• RoyalRoad (8.t) RTF Builder - «фирменный» генератор вредоносных RTF, встречается у множества PRC‑кластеров для первичных загрузчиков (часто цепляется к дипломатическим темам).
Бэкдоры и RAT.
• PlugX (множественные ветки), QuasarRAT (варианты), ShadowPad -
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
• «Зонтичные» наборы Winnti: модули для краденых сертификатов, инжекторы и лоадеры, встречающиеся и в supply‑chain кейсах (ASUS Live Update/ShadowHammer и др.; см. обзор по ссылке выше).
Легит‑инструменты «как есть». Cobalt Strike, SharpHound/BloodHound, fscan, PowerShell Remoting, RDP - характерная зависимость от «чистых» админ‑инструментов как у Volt Typhoon, так и у других групп; это усложняет детект.
Supply‑chain и «финансовые» эпизоды: где PRC‑APT сходятся с киберпреступностью
Supply‑chain‑кампании.• ASUS Live Update / ShadowHammer (2018–2019): поставочный взлом утилит обновления, адресный «таргет» по MAC‑адресам.
• NoxPlayer / Operation NightScout (2021): цепочка поставки для эмулятора Android, использована для адресных атак; техдетали.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
(игровые активы, крипта, вымогательство/внедрение вебшеллов для доступа на продажу).• Криптодобыча в облаках у китайскоязычных акторов описана множеством вендоров (8220 Gang и др.); в этих кейсах злоумышленники действуют ближе к «киберпреступникам» (скан/эксплойт облачных сервисов → майнинг), но лингвистическая и инфраструктурная связь с PRC‑сценой прослеживается.
- Cloud Hopper / APT10 - эталон многоступенчатой компрометации MSP (см. PwC/NCSC ссылки выше). Итог: отраслевые гайды по безопасности MSP и Zero‑Trust‑модели.
- HAFNIUM / Exchange (2021) - массовый первичный доступ через 0‑day, последующий webshell‑«ковёр». Итог: перевод внутрикорпоративной почты в модель «постоянной готовности к компрометации», инвентарь экспонированных сервисов, EDR на серверах.
- Volt Typhoon (2023–2025) - тихая подготовка в критической инфраструктуре: минимальная малварь, максимум LOLBins. Итог: сдвиг в сторону сетевой телеметрии (NetFlow/PCAP), гипотезно‑ориентированного Threat Hunting и аудита учёток/удалённых доступов;
- KV‑ботнет (2023–2024) -
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки./
- i‑SOON leak (2024) - практический взгляд внутрь подрядной кухни: слоты задач, цены, отчётность и KPI. Вывод: на рынке действует «серая прослойка» подрядчиков с криминальными практиками.
- CL‑STA‑0969 (2024) - продолжение «Soft Cell»‑подобных телеком‑кампаний
- Первичный доступ. Фишинг (LNK/RTF от RoyalRoad), эксплуатация уязвимых Edge/VPN/Email‑шлюзов (Exchange, Ivanti, Fortinet), компрометированные MSP.
- Исполнение и персистентность. LOLBins (PowerShell, wmic, certutil), службы, Scheduled Tasks, WMI‑подписки; минимизация артефактов на диске, кража легит‑учёток и токенов.
- Латеральное перемещение. SMB/RDP/WinRM, SharpHound для графов AD, теневое копирование реестров/LSA, эксфильтрация через прокси/облачные хранилища.
- Экcфильтрация и сокрытие. Туннелирование через прокси (SOCKS), DNS‑туннели, использование захваченных SOHO‑роутеров как ретрансляторов (см. KV‑ботнет от DOJ).
Если вас интересуют эта область знаний и вы хотите подробнее разобраться, то пишите в комментариях - будем разбирать, а при необходимости и статью запилим)
Материалы созданы исключительно в познавательных целях и мы не рекомендуем нарушать законодательства любой страны! Автор не имеет конфликта интересов, статья подготовлена на основе открытых данных и рецензируемых публикаций, перечисленных по ходу текста. При создании статьи, так же использовался ИИ, как часть процесса. Материал проверен, перед публикацией редактором - человеком! Нажимай на изображение, там ты найдешь все информационные ресурсы A&N
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.