Autor: Wojciech Ciemski

Wprowadzenie do problemu / definicja

Nowo ujawniona kampania cyberszpiegowska potwierdza utrwalony kierunek działań grup powiązanych z Chinami: priorytetem pozostają instytucje rządowe, sektor obronny oraz środowiska o wysokiej wartości wywiadowczej. W opisywanym przypadku napastnicy koncentrowali się na publicznie dostępnych serwerach, wykorzystując znane podatności typu N-day w Microsoft Exchange i usługach IIS, a następnie rozwijając dostęp przy użyciu web shelli, backdoorów i narzędzi do ruchu lateralnego.

Skala i dobór celów pokazują, że nie chodzi o oportunistyczne włamania, lecz o długofalowe operacje nastawione na utrzymanie dostępu, rozpoznanie infrastruktury i dyskretną eksfiltrację danych. Szczególne znaczenie ma fakt, że wśród ofiar znalazły się podmioty publiczne z Azji oraz co najmniej jedno państwo NATO.

W skrócie

• Badacze opisali klaster aktywności SHADOW-EARTH-053 powiązany z operacjami cyberwywiadowczymi.
• Cele obejmowały administrację i obronność w Azji Południowej, Wschodniej i Południowo-Wschodniej oraz co najmniej jeden kraj NATO w Europie.
• Wśród wskazanych ofiar znalazły się organizacje z Pakistanu, Tajlandii, Malezji, Indii, Mjanmy, Sri Lanki, Tajwanu oraz Polski.
• Ataki rozpoczynały się od eksploatacji niezałatanych systemów brzegowych, po czym wdrażano web shell Godzilla i implanty ShadowPad uruchamiane przez DLL sideloading.
• W części incydentów wykorzystano także React2Shell do dostarczenia linuksowego wariantu Noodle RAT.
• Równolegle ujawniono kampanie phishingowe wymierzone w dziennikarzy i aktywistów diaspory, prowadzone przez klastry GLITTER CARP oraz SEQUIN CARP.

Kontekst / historia

Operacje przypisywane chińsko powiązanym aktorom od lat ewoluują od klasycznego spear phishingu do kompromitacji urządzeń i usług brzegowych. To przesunięcie wynika z wysokiej skuteczności ataków na serwery wystawione do internetu, zwłaszcza gdy organizacje opóźniają wdrażanie poprawek lub utrzymują przestarzałe komponenty Exchange i IIS.

SHADOW-EARTH-053 ma być aktywny co najmniej od grudnia 2024 roku. Analitycy wskazali również częściowe nakładanie się infrastruktury z innymi śledzonymi klastrami, a niemal połowa zaobserwowanych ofiar tej kampanii miała wcześniej styczność z aktywnością oznaczaną jako SHADOW-EARTH-054. Taki obraz sugeruje szerszy ekosystem operatorów współdzielących techniki, infrastrukturę lub pośredni dostęp do środowisk ofiar.

Równolegle do ataków na sektor publiczny ujawniono odrębne kampanie phishingowe wymierzone w dziennikarzy śledczych, społeczeństwo obywatelskie oraz aktywistów ujgurskich, tybetańskich, tajwańskich i hongkońskich. To wpisuje się w model cyfrowej represji transnarodowej, w którym celem jest nie tylko klasyczny wywiad państwowy, ale także monitoring i presja wobec środowisk krytycznych.

Analiza techniczna

Łańcuch ataku w kampanii SHADOW-EARTH-053 opierał się głównie na eksploatacji znanych podatności w usługach internetowych. Napastnicy wykorzystywali luki w Microsoft Exchange i aplikacjach hostowanych na IIS, w tym techniki kojarzone z łańcuchem ProxyLogon. Po uzyskaniu dostępu wdrażali web shell Godzilla, który zapewniał trwałość, zdalne wykonywanie poleceń i możliwość dalszego dostarczania narzędzi.

Kolejnym etapem było rozpoznanie środowiska oraz wdrożenie implantu ShadowPad. Malware uruchamiano z użyciem DLL sideloadingu, czyli podstawiania złośliwej biblioteki do legalnego, podpisanego pliku wykonywalnego. Taka metoda utrudnia detekcję, ponieważ aktywność może przypominać uruchomienie zaufanego oprogramowania. W części incydentów pojawiał się również AnyDesk jako element pośredni w łańcuchu wdrożeniowym.

W co najmniej jednym przypadku wykorzystano React2Shell, oznaczoną jako CVE-2025-55182, do dystrybucji linuksowego wariantu Noodle RAT, znanego także jako ANGRYREBEL. To ważny sygnał, że operatorzy szybko włączają nowe podatności do swojego arsenału i potrafią działać zarówno w środowiskach Windows, jak i Linux.

Do omijania segmentacji i ukrywania komunikacji stosowano narzędzia tunelujące, takie jak IOX, GOST i Wstunnel. Pakowanie binariów przy użyciu RingQ miało utrudniać analizę i wykrywanie. W celu eskalacji uprawnień odnotowano ślady użycia Mimikatz, a ruch lateralny realizowano m.in. z wykorzystaniem niestandardowego launchera RDP oraz narzędzia Sharp-SMBExec napisanego w C#.

W kampaniach phishingowych GLITTER CARP i SEQUIN CARP nacisk położono na przejęcie kont pocztowych i tożsamości chmurowych. Operatorzy używali starannie przygotowanych wiadomości podszywających się pod znane osoby lub alerty bezpieczeństwa firm technologicznych. Celem było wyłudzenie poświadczeń, skierowanie ofiar na fałszywe strony logowania lub nakłonienie ich do nadania uprawnień aplikacji przez token OAuth. W części wiadomości zastosowano także piksele śledzące 1×1, które pozwalały potwierdzić otwarcie e-maila i zebrać podstawowe informacje o urządzeniu odbiorcy.

Konsekwencje / ryzyko

Ryzyko dla organizacji publicznych i obronnych jest wielowarstwowe. Skuteczna kompromitacja serwera brzegowego daje przeciwnikowi przyczółek w strefie zaufanej i często umożliwia dalszą eksplorację środowiska bez konieczności ponownego przełamywania zabezpieczeń. Użycie ShadowPad i podobnych implantów oznacza z kolei wysokie prawdopodobieństwo długotrwałej obecności w sieci oraz skrytej eksfiltracji danych.

Dla administracji państwowej i podmiotów NATO oznacza to ryzyko utraty informacji strategicznych, dokumentów wewnętrznych, danych osobowych oraz wiedzy o architekturze infrastruktury. W sektorze obronnym skutki mogą obejmować także ujawnienie procedur, zależności między systemami oraz informacji wspierających planowanie kolejnych operacji wywiadowczych.

W kampaniach wymierzonych w dziennikarzy i aktywistów ryzyko ma również wymiar osobisty i operacyjny. Przejęcie skrzynek pocztowych oraz kont w usługach chmurowych może prowadzić do deanonimizacji źródeł, monitorowania kontaktów, pozyskania materiałów śledczych i wywierania presji informacyjnej na organizacje społeczeństwa obywatelskiego.

Rekomendacje

Organizacje powinny priorytetowo traktować zarządzanie podatnościami na systemach dostępnych z internetu, zwłaszcza Microsoft Exchange, IIS oraz innych usługach webowych. Kluczowe znaczenie ma skrócenie czasu między publikacją poprawek a ich wdrożeniem, ponieważ grupy APT regularnie wykorzystują luki N-day jako główny wektor wejścia.

Jeżeli natychmiastowe łatanie nie jest możliwe, warto wdrożyć wirtualne poprawki przez IPS lub WAF z regułami blokującymi znane próby eksploatacji. Równolegle należy ograniczyć ekspozycję usług administracyjnych, wymusić segmentację sieci oraz zablokować nieautoryzowane narzędzia zdalnego dostępu i tunelowania.

• Monitorować procesy potomne uruchamiane przez usługi IIS, Exchange i serwery aplikacyjne.
• Sprawdzać obecność web shelli oraz anomalie w katalogach aplikacyjnych.
• Wykrywać nietypowe ładowanie bibliotek DLL przez legalne, podpisane pliki wykonywalne.
• Śledzić użycie narzędzi takich jak Mimikatz, Sharp-SMBExec, GOST, Wstunnel i IOX.
• Analizować nietypowe połączenia wychodzące do infrastruktury tunelującej i serwerów C2.
• Kontrolować tworzenie i modyfikację tokenów OAuth oraz niestandardowe zgody aplikacyjne w usługach pocztowych i chmurowych.

Dodatkowo należy wdrożyć odporność na phishing ukierunkowany: MFA odporne na przechwycenie sesji, polityki ograniczające zgody OAuth, separację kont uprzywilejowanych, szkolenia dla użytkowników wysokiego ryzyka oraz procedury szybkiego odwoływania sesji i tokenów po incydencie.

W środowiskach Linux i aplikacjach opartych o React Server Components konieczne jest również sprawdzenie, czy organizacja nie pozostaje podatna na React2Shell, oraz przeanalizowanie logów pod kątem nietypowych wywołań mogących wskazywać na zdalne wykonanie kodu.

Podsumowanie

Opisana kampania pokazuje, że współczesne operacje cyberszpiegowskie coraz częściej zaczynają się od kompromitacji brzegu sieci, a następnie przechodzą do utrzymania dostępu, ruchu lateralnego i precyzyjnej eksfiltracji danych. SHADOW-EARTH-053 potwierdza skuteczność łączenia znanych luk, web shelli, DLL sideloadingu i dojrzałych implantów takich jak ShadowPad.

Z kolei GLITTER CARP i SEQUIN CARP pokazują, że cele wywiadowcze obejmują już nie tylko administrację i obronność, ale także dziennikarzy oraz społeczeństwo obywatelskie. Dla zespołów bezpieczeństwa kluczowe pozostają szybkie łatanie systemów brzegowych, monitoring aktywności po eksploatacji oraz ścisła kontrola tożsamości i dostępu w usługach pocztowych i chmurowych.

Źródła

• The Hacker News — China-Linked Hackers Target Asian Governments, NATO State, Journalists, and Activists — https://thehackernews.com/2026/05/china-linked-hackers-target-asian.html
• Trend Micro Research — Inside Shadow-Earth-053: A China-Aligned Cyberespionage Campaign Against Government and Defense Sectors in Asia — https://www.trendmicro.com/en_us/research.html
• Citizen Lab — China-Aligned Threat Actors Attack Journalists and Civil Society With Phishing Campaigns — https://citizenlab.ca/2026/04/china-aligned-threat-actors-attack-journalists-and-civil-society-with-phishing-campaigns/
• Google Cloud Blog — Multiple Threat Actors Exploit React2Shell (CVE-2025-55182) — https://cloud.google.com/blog/topics/threat-intelligence/threat-actors-exploit-react2shell-cve-2025-55182/