Trzy klastry powiązane z Chinami prowadziły cyberszpiegostwo przeciw administracji w Azji Południowo-Wschodniej - Security Bez Tabu

Trzy klastry powiązane z Chinami prowadziły cyberszpiegostwo przeciw administracji w Azji Południowo-Wschodniej

Cybersecurity news

Wprowadzenie do problemu / definicja

W 2025 roku ujawniono zaawansowaną kampanię cyberszpiegowską wymierzoną w organizację rządową w Azji Południowo-Wschodniej. Analiza incydentu wskazuje, że w środowisku ofiary działały równolegle co najmniej trzy odrębne klastry aktywności powiązane z chińskim ekosystemem APT. Celem operacji nie było zakłócenie pracy systemów, lecz długotrwałe utrzymanie dostępu, zbieranie informacji i rozwijanie przyczółków w sieci.

To istotny przykład współczesnych operacji cyberwywiadowczych, w których kilka zespołów może realizować zbieżne cele wobec jednej instytucji o strategicznym znaczeniu. Tego typu kampanie są trudniejsze do wykrycia i usunięcia, ponieważ opierają się na różnych rodzinach malware, odmiennych technikach infiltracji i wielu warstwach trwałości.

W skrócie

  • W kampanii zidentyfikowano trzy klastry: Mustang Panda, CL-STA-1048 oraz CL-STA-1049.
  • Atakujący używali rozbudowanego zestawu narzędzi, w tym HIUPAN, PUBLOAD, EggStremeFuel, EggStremeLoader, MASOL RAT, TrackBak, Hypnosis Loader i FluffyGh0st.
  • Jeden z wektorów opierał się na propagacji przez nośniki USB, a inne na loaderach i backdoorach wdrażanych w celu utrzymania dostępu.
  • Nakładające się ramy czasowe i wspólne cele sugerują skoordynowane działania kilku zespołów wobec jednego celu rządowego.
  • Największe ryzyko dotyczy wycieku danych administracyjnych, poświadczeń, konfiguracji sieci oraz materiałów o znaczeniu politycznym i operacyjnym.

Kontekst / historia

Aktywność przypisywana poszczególnym klastrom rozciągała się na wiele miesięcy 2025 roku. Mustang Panda miał być aktywny od czerwca do połowy sierpnia, CL-STA-1048 od marca do września, a CL-STA-1049 co najmniej w kwietniu i sierpniu. Taki układ wskazuje, że ofiara pozostawała pod długotrwałą presją, a działania mogły być prowadzone równolegle lub etapowo, zależnie od bieżących potrzeb operacyjnych.

Kampania wpisuje się w szerszy trend obserwowany wcześniej w regionie Azji Południowo-Wschodniej. W poprzednich raportach dotyczących operacji Crimson Palace oraz aktywności Unfading Sea Haze również opisywano długotrwałą obecność w środowiskach rządowych, wykorzystanie wielu rodzin malware oraz nacisk na pozyskiwanie danych politycznych, wojskowych i gospodarczych. Najnowszy przypadek wyróżnia się jednak wyraźną konwergencją kilku klastrów wokół tej samej ofiary.

Analiza techniczna

Wątek powiązany z Mustang Panda obejmował użycie malware rozprzestrzeniającego się przez urządzenia USB. Narzędzie HIUPAN, znane także jako USBFect, służyło do przenoszenia komponentów na nośniki wymienne oraz infekowania kolejnych stacji roboczych. Następnie uruchamiany był loader ClaimLoader, którego rolą było załadowanie do pamięci backdoora PUBLOAD. Taki łańcuch zwiększał trwałość infekcji i ułatwiał ruch boczny w środowisku.

PUBLOAD komunikował się z infrastrukturą C2 przy użyciu zaszyfrowanych danych i ruchu przypominającego legalną komunikację TLS. W tej samej linii aktywności odnotowano również COOLCLIENT, czyli backdoor umożliwiający transfer plików, rejestrowanie klawiszy, tunelowanie ruchu i zbieranie informacji o portach. To sugeruje, że operatorzy budowali wielowarstwową obecność, zamiast polegać na pojedynczym implancie.

CL-STA-1048 stosował bardziej modułowe podejście i wykorzystywał kilka rodzin malware o podobnej funkcji. W zestawie znalazły się EggStremeFuel, EggStremeLoader, MASOL RAT oraz TrackBak. EggStremeFuel działał jako lekki backdoor umożliwiający transfer plików, uruchamianie powłoki zwrotnej i zmianę konfiguracji serwera C2. EggStremeLoader rozszerzał możliwości operatora o liczne komendy zdalnego zarządzania i wspierał eksfiltrację danych.

MASOL RAT odpowiadał za zdalne wykonywanie poleceń i operacje na plikach, a TrackBak skupiał się na zbieraniu logów, danych ze schowka, informacji sieciowych i plików z dysku. Taki zestaw narzędzi może wskazywać na aktywne testowanie różnych komponentów pod kątem skuteczności wobec zabezpieczeń EDR i XDR.

CL-STA-1049 działał ostrożniej i wykorzystywał nowy loader DLL określany jako Hypnosis Loader. Był on uruchamiany za pomocą techniki DLL side-loading, a jego zadaniem było wdrożenie FluffyGh0st RAT. To złośliwe oprogramowanie było już wcześniej wiązane z operacjami szpiegowskimi w regionie Morza Południowochińskiego. Taki model działania wskazuje na preferowanie technik maskowania aktywności w zaufanych procesach oraz ograniczania widoczności dla narzędzi obronnych.

Najważniejsza w tej kampanii jest funkcjonalna komplementarność użytych narzędzi. Razem zapewniają one początkową infiltrację, trwałość, ruch boczny, tunneling, keylogging, zbieranie danych oraz elastyczne kanały komunikacji z infrastrukturą sterującą. To charakterystyczny profil operacji cyberwywiadowczej nastawionej na długoterminową obecność i systematyczną eksfiltrację informacji.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem takiej kampanii jest utrata poufności danych administracyjnych i strategicznych. W praktyce może to obejmować dokumenty robocze, dane uwierzytelniające, mapy sieci, informacje o użytkownikach, materiały polityczne oraz dane operacyjne. Dodatkowym zagrożeniem jest obecność wielu niezależnych implantów, które zwiększają odporność przeciwnika na działania naprawcze.

W tego typu incydencie usunięcie jednego komponentu nie oznacza automatycznie pełnej neutralizacji zagrożenia. Osobne klastry mogą korzystać z różnych mechanizmów trwałości, innych kanałów C2 i alternatywnych ścieżek dostępu. Szczególnie niebezpieczne są propagacja przez USB w środowiskach częściowo odizolowanych, nadużywanie DLL side-loading oraz długie okna aktywności, które pozwalają intruzom spokojnie rozwijać operację.

Rekomendacje

Organizacje publiczne i podmioty wysokiego ryzyka powinny wzmocnić kontrolę nośników wymiennych. Obejmuje to blokowanie nieautoryzowanych urządzeń USB, skanowanie offline oraz monitorowanie operacji kopiowania bibliotek DLL i plików wykonywalnych na dyski przenośne. Równie ważne jest wykrywanie technik DLL side-loading poprzez analizę relacji między legalnymi aplikacjami a nietypowymi bibliotekami ładowanymi z katalogów użytkownika i ścieżek tymczasowych.

Warto również rozbudować detekcję behawioralną pod kątem keyloggingu, tunelowania ruchu, nietypowych połączeń TCP udających szyfrowaną komunikację oraz tworzenia mechanizmów autostartu. Zespoły bezpieczeństwa powinny prowadzić regularny threat hunting z uwzględnieniem telemetrii endpointów, zdarzeń PowerShell, zmian w katalogach ProgramData i AppData, uruchomień z nośników wymiennych oraz zależności proces-plik-DLL.

  • Ograniczyć użycie nośników USB i wdrożyć ścisłe polityki ich obsługi.
  • Monitorować DLL side-loading oraz nietypowe ładowanie bibliotek.
  • Rozszerzyć wykrywanie o zachowania charakterystyczne dla loaderów pamięciowych i shellcode.
  • Segmentować sieć oraz ograniczać uprawnienia lokalnych administratorów.
  • Stosować kontrolę aplikacyjną i centralne zarządzanie IOC oraz IOA.
  • Po wykryciu incydentu szybko rotować poświadczenia i zakładać możliwość obecności wielu klastrów jednocześnie.

W przypadku podejrzenia kompromitacji nie należy zakładać, że incydent ogranicza się do jednego implantu. Konieczne jest pełne scope’owanie zdarzenia, analiza pamięci, przegląd hostów pod kątem ukrytych komponentów oraz weryfikacja, czy przeciwnik nie utrzymuje alternatywnych ścieżek dostępu.

Podsumowanie

Opisana kampania pokazuje, że nowoczesne operacje APT coraz częściej przybierają formę wielowarstwowych działań prowadzonych równolegle przez kilka klastrów wobec jednego celu. W tym przypadku różne zestawy narzędzi, od robaków USB po stealth loadery i zaawansowane RAT-y, wspierały wspólny cel: długoterminowe utrzymanie dostępu do sieci administracji rządowej i systematyczne pozyskiwanie danych.

Dla zespołów bezpieczeństwa to wyraźny sygnał, że skuteczna obrona przed cyberwywiadem wymaga nie tylko klasycznych mechanizmów prewencyjnych, ale również ciągłej analizy behawioralnej, dojrzałego threat huntingu oraz gotowości do równoczesnego usuwania wielu śladów obecności przeciwnika.

Źródła

  1. The Hacker News — https://thehackernews.com/2026/03/three-china-linked-clusters-target.html
  2. Palo Alto Networks Unit 42: Converging Interests: Analysis of Threat Clusters Targeting a Southeast Asian Government — https://unit42.paloaltonetworks.com/espionage-campaigns-target-se-asian-government-org/
  3. Sophos News: Operation Crimson Palace — https://news.sophos.com/en-us/2024/06/05/operation-crimson-palace-sophos-threat-hunting-unveils-multiple-clusters-of-chinese-state-sponsored-activity-targeting-southeast-asia/
  4. Sophos News: Crimson Palace returns: New Tools, Tactics, and Targets — https://news.sophos.com/en-us/2024/09/10/crimson-palace-new-tools-tactics-targets/
  5. Bitdefender: Unfading Sea Haze: New Espionage Campaign in the South China Sea — https://www.bitdefender.com/en-gb/blog/labs/unfading-sea-haze-new-espionage-campaign-in-the-south-china-sea