Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Grupa APT oznaczana jako CL-STA-1062 prowadzi ukierunkowane operacje cybernetyczne wymierzone w instytucje rządowe oraz organizacje infrastruktury krytycznej w Azji Południowo-Wschodniej. Kampania wyróżnia się połączeniem powszechnie dostępnych narzędzi ofensywnych z niestandardowym backdoorem TinyRCT, zaprojektowanym do utrzymywania trwałego i trudniejszego do wykrycia dostępu w przejętych środowiskach.
To przykład działań, w których przeciwnik nie musi korzystać z rozbudowanego arsenału zero-day, aby osiągnąć wysoki poziom skuteczności. Wystarczy konsekwentne wykorzystanie podatnych aplikacji webowych, legalnych narzędzi administracyjnych oraz lekkiego malware dostosowanego do potrzeb konkretnej operacji.
W skrócie
- CL-STA-1062 pozostaje aktywna co najmniej od marca 2022 roku.
- Od połowy 2025 roku szczególnym celem stały się podmioty rządowe i państwowe organizacje energetyczne w Azji Południowo-Wschodniej.
- Ataki bazują na kompromitacji aplikacji webowych, wdrażaniu web shelli ASPX, rekonesansie i eskalacji uprawnień.
- Napastnicy wykorzystują narzędzia tunelujące i zdalnego dostępu, takie jak SoftEther VPN, VNT i Yuze.
- Kluczowym elementem kampanii jest TinyRCT, autorski backdoor w C#, umożliwiający zdalne wykonywanie poleceń, eksfiltrację danych i utrzymywanie trwałości.
Kontekst / historia
Analitycy łączą aktywność CL-STA-1062 z wcześniej obserwowanym klastrem UAT-7237. W poprzednich kampaniach aktor ten był wiązany z atakami na infrastrukturę hostingową na Tajwanie, gdzie również wykorzystywał narzędzia open source, selektywne wdrażanie web shelli oraz mechanizmy trwałości oparte na VPN i zdalnym dostępie.
W nowszej fazie operacji doszło jednak do wyraźnego przesunięcia zainteresowania w stronę podmiotów o znaczeniu strategicznym. Między październikiem a grudniem 2025 roku odnotowano kompromitacje co najmniej dziesięciu organizacji w regionie. W jednym z incydentów z września 2025 roku napastnicy uzyskali dostęp do jednostki rządowej, wyprowadzili dane z serwera MS SQL i prowadzili rozpoznanie wobec innej instytucji administracyjnej w tym samym państwie.
Analiza techniczna
Schemat działania atakujących jest stosunkowo spójny. Początkowy dostęp uzyskiwany jest przez podatne, publicznie dostępne aplikacje webowe. Po kompromitacji wdrażane są web shelle ASPX, które służą do rozpoznania środowiska, dostarczania kolejnych narzędzi oraz utrzymywania kontroli nad serwerem.
W kolejnych etapach operatorzy instalują komponenty tunelujące i narzędzia zdalnego dostępu podszywające się pod legalne oprogramowanie, w tym procesy przypominające składniki VMware lub agentów XDR. Tego typu maskowanie utrudnia wykrycie zarówno podczas analizy procesów, jak i w trakcie przeglądu artefaktów systemowych. Do działań po uzyskaniu dostępu wykorzystywane są również znane narzędzia, takie jak Mimikatz do pozyskiwania poświadczeń oraz JuicyPotato do eskalacji uprawnień.
Najważniejszym elementem kampanii pozostaje TinyRCT, czyli lekki backdoor napisany w C#. Malware umożliwia wykonywanie poleceń systemowych przez cmd.exe, enumerację katalogów i plików, odczyt i eksfiltrację danych w porcjach kompresowanych oraz szyfrowanych, wykonywanie zrzutów ekranu, pobieranie dodatkowych plików, a także usuwanie własnych artefaktów na żądanie operatora.
Z dostępnych analiz wynika, że TinyRCT komunikuje się z serwerem dowodzenia przez HTTP i wykorzystuje szyfrowanie AES-128-CBC z kluczem zaszytym w próbce. Domyślny interwał odpytywania wynosi 10 sekund, co pozwala operatorowi na relatywnie szybką interakcję z przejętym hostem przy ograniczonym narzucie. Backdoor zawiera również mechanizmy utrudniające analizę, między innymi kontrolę ścieżki uruchomienia i zakończenie działania, jeśli proces nie startuje z oczekiwanej lokalizacji w profilu użytkownika.
Łańcuch dostarczenia TinyRCT wykorzystuje DLL side-loading oraz manipulację konfiguracją .NET. W pakiecie dystrybucyjnym znajdują się legalny podpisany plik wykonywalny, złośliwy plik konfiguracyjny oraz podstawiona biblioteka DLL. Po uruchomieniu zaufanego pliku wykonywalnego środowisko .NET ładuje złośliwy komponent jako menedżera domeny aplikacji, a następnie loader pobiera właściwy backdoor ze staging servera i tworzy zadanie harmonogramu uruchamiane przy logowaniu użytkownika z najwyższymi dostępnymi uprawnieniami.
Konsekwencje / ryzyko
Znaczenie tej kampanii wynika przede wszystkim z doboru celów. Administracja publiczna i sektor energii należą do obszarów, których kompromitacja może wywołać skutki operacyjne, gospodarcze i geopolityczne. W tego typu środowiskach nawet ograniczony dostęp napastnika może przełożyć się na rozpoznanie infrastruktury, kradzież wrażliwych danych, a w dalszej perspektywie także na zakłócenie ciągłości działania.
Ryzyko nie ogranicza się do eksfiltracji informacji. Obserwowane TTP wskazują na przygotowanie do długotrwałej obecności w sieci, identyfikacji segmentów o wyższej wartości oraz budowy możliwości dalszego ruchu bocznego. Dodatkowym utrudnieniem dla zespołów obronnych jest wykorzystanie legalnych narzędzi i procesów, które mogą przypominać standardowe działania administracyjne. Moduł samo-usuwania w TinyRCT dodatkowo komplikuje analizę powłamaniową i odzyskanie pełnego obrazu incydentu.
Rekomendacje
Organizacje z sektorów rządowego, energetycznego i przemysłowego powinny potraktować opisywaną kampanię jako wzorzec do polowania na zagrożenia oraz do weryfikacji własnych mechanizmów detekcji. Szczególnie istotne są działania ograniczające ryzyko w warstwie aplikacji webowych, dostępu uprzywilejowanego i ruchu lateralnego.
- Priorytetowo usuwać podatności w publicznie wystawionych aplikacjach webowych.
- Monitorować serwery IIS i aplikacje ASP.NET pod kątem nieautoryzowanych plików ASPX oraz nietypowych zmian w katalogach aplikacyjnych.
- Wykrywać uruchomienia narzędzi tunelujących i zdalnego dostępu podszywających się pod legalne procesy systemowe lub komponenty bezpieczeństwa.
- Analizować tworzenie nowych zadań harmonogramu, zwłaszcza uruchamianych przy logowaniu i z podwyższonymi uprawnieniami.
- Wdrożyć detekcję dla podejrzanych plików .config, nieautoryzowanych bibliotek DLL oraz anomalii związanych z ładowaniem komponentów .NET.
- Monitorować użycie narzędzi do dumpingu poświadczeń, eskalacji uprawnień i nietypowego dostępu do LSASS.
- Kontrolować ruch HTTP wychodzący z serwerów aplikacyjnych i stacji administracyjnych pod kątem niestandardowych beaconów.
- Ograniczać możliwość uruchamiania niezatwierdzonych narzędzi administracyjnych poprzez application control i allowlisting.
- Segmentować sieci IT i OT oraz wzmacniać monitorowanie ruchu między segmentami.
- Utrzymywać gotowość reagowania na incydenty, w tym procedury zabezpieczania artefaktów, pamięci oraz zadań harmonogramu przed ich usunięciem przez malware.
Podsumowanie
CL-STA-1062 pokazuje, że dojrzały aktor APT może skutecznie łączyć niski koszt operacyjny narzędzi open source z precyzyjnie dobranym malware autorskim. TinyRCT nie jest masowym implantem, lecz komponentem zaprojektowanym pod konkretne potrzeby operacyjne: cichy dostęp, eksfiltrację danych, utrzymywanie trwałości i możliwość zacierania śladów.
Dla obrońców najważniejsza lekcja jest jednoznaczna: kampanie oparte głównie na publicznie dostępnych narzędziach mogą stanowić poważne zagrożenie, jeśli są prowadzone konsekwentnie i przeciwko środowiskom o wysokiej wartości strategicznej. Skuteczna obrona wymaga więc nie tylko reagowania na znane próbki malware, ale także uważnej analizy zachowań, anomalii procesowych i śladów pozostawianych przez etap po kompromitacji.