Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Najnowsze obserwacje aktywności chińskich grup APT pokazują, że współczesne operacje cyberszpiegowskie stają się coraz bardziej elastyczne, długotrwałe i lepiej dopasowane do realiów geopolitycznych. Zamiast opierać się na pojedynczym wektorze wejścia lub jednym ładunku malware, operatorzy prowadzą kampanie wieloetapowe, obejmujące odzyskiwanie dostępu, rotację narzędzi oraz wdrażanie nowych backdoorów i frameworków zdalnego dostępu.
To podejście znacząco utrudnia obronę, ponieważ organizacje nie mierzą się już wyłącznie z jednorazową kompromitacją, ale z przeciwnikiem zdolnym do długofalowego utrzymywania obecności w środowisku i rekonfiguracji infrastruktury ataku w odpowiedzi na działania obronne.
W skrócie
- Salt Typhoon miała zaatakować podmiot z sektora ropy i gazu w Azerbejdżanie.
- W kampanii wykorzystano podatności Microsoft Exchange, web shelle, DLL sideloading oraz backdoory Deed RAT i TernDoor.
- Twill Typhoon prowadziła działania przeciw organizacjom w Azji i Pacyfiku oraz Japonii od września 2025 do co najmniej kwietnia 2026 roku.
- W tym przypadku użyto zaktualizowanego, modułowego frameworka RAT opartego na .NET, określanego jako FDMTP.
- Obie kampanie pokazują nacisk na persystencję, ruch lateralny i możliwość szybkiej wymiany implantów.
Kontekst / historia
Salt Typhoon od lat jest łączona z zaawansowanymi operacjami cyberszpiegowskimi wymierzonymi w podmioty strategiczne, w tym administrację, telekomunikację i sektor technologiczny. W opisywanym przypadku szczególnie istotna jest jednak zmiana profilu celu. Uderzenie w firmę działającą w obszarze ropy i gazu w Azerbejdżanie może wskazywać na dostosowanie priorytetów wywiadowczych do znaczenia tego kraju dla bezpieczeństwa energetycznego Europy.
Z kolei Twill Typhoon od dawna funkcjonuje w analizach branżowych pod różnymi nazwami nadawanymi przez poszczególne zespoły badawcze. Charakterystyczne dla tej grupy pozostaje wykorzystywanie legalnych komponentów systemowych, technik DLL sideloading oraz infrastruktury mającej maskować ruch jako pochodzący z wiarygodnych usług internetowych. Najnowsza kampania pokazuje, że operatorzy nadal rozwijają modułowe podejście do malware, co pozwala im wymieniać poszczególne komponenty bez przebudowy całego łańcucha ataku.
Analiza techniczna
W przypadku Salt Typhoon początkowy wektor dostępu miał bazować na eksploatacji podatności Microsoft Exchange, w tym łańcucha ProxyNotShell. Po uzyskaniu możliwości wykonania kodu atakujący wdrożyli web shelle, które zapewniły im pierwszą warstwę obecności w środowisku ofiary. Następnie wykorzystali komendy systemowe, DLL sideloading oraz backdoor Deed RAT.
Malware ukryto w katalogu imitującym legalną instalację LogMeIn Hamachi, a mechanizm persystencji osiągnięto przez usługę podszywającą się pod ten sam produkt i uruchamianą automatycznie wraz ze startem systemu. Po przejęciu pierwszego hosta operatorzy wykorzystali RDP do przejścia na kolejny serwer, zalogowali się na konto administracyjne i ponownie wdrożyli Deed RAT, co sugeruje aktywność prowadzoną ręcznie przez operatora.
W dalszym etapie użyto narzędzi Impacket do poruszania się lateralnego i kompromitacji kolejnych systemów. Gdy część złośliwego oprogramowania została usunięta z co najmniej jednego hosta, atakujący wrócili do wcześniej przejętego serwera i wdrożyli dodatkowy backdoor TernDoor. Pod koniec lutego 2026 roku odnotowano także ponowną próbę instalacji Deed RAT z wykorzystaniem tego samego łańcucha wykonania, co potwierdza dużą odporność operacyjną kampanii.
Aktywność Twill Typhoon miała nieco inny charakter, ale podobny poziom zaawansowania. Zainfekowane systemy wykonywały żądania do domen podszywających się pod usługi CDN i popularne serwisy internetowe. Następnie pobierano legalne pliki binarne, odpowiadające im pliki konfiguracyjne oraz złośliwe biblioteki DLL. Taki model dostarczania ładunku jest typowy dla kampanii opartych na DLL sideloading, gdzie zaufany plik wykonywalny ładuje spreparowaną bibliotekę.
Finalnym ładunkiem w tej kampanii był nowy framework RAT określany jako FDMTP. Do jego uruchomienia wykorzystano legalny silnik Windows ClickOnce oraz infrastrukturę hostingu związaną z Visual Studio. Sam implant ma architekturę modułową i wspiera między innymi fingerprinting systemu, wykonywanie poleceń, manipulację zadaniami Windows, utrzymywanie persystencji w rejestrze, operacje na procesach oraz pobieranie plików i komend. Dzięki temu operatorzy mogą dynamicznie wymieniać moduły i utrzymywać operację nawet po wykryciu części komponentów.
Konsekwencje / ryzyko
Z perspektywy obrońców szczególnie groźne są trzy elementy. Po pierwsze, tego typu kampanie nie kończą się na jednorazowym naruszeniu. Atakujący potrafią wracać do wcześniej skompromitowanych środowisk, ponownie wykorzystywać istniejące ścieżki dostępu i wdrażać alternatywne implanty. Oznacza to, że częściowe usunięcie malware nie musi oznaczać pełnego opanowania incydentu.
Po drugie, użycie legalnych binariów, usług systemowych oraz mechanizmów takich jak ClickOnce i DLL sideloading znacząco utrudnia detekcję. Artefakty i ruch sieciowy mogą wyglądać wiarygodnie, a klasyczne wskaźniki kompromitacji często okazują się niewystarczające bez zaawansowanej analizy behawioralnej.
Po trzecie, dobór celów wskazuje na rosnące ryzyko dla sektorów strategicznych, w tym energetyki, finansów, telekomunikacji i administracji publicznej. Organizacje działające w obszarach powiązanych z infrastrukturą krytyczną, bezpieczeństwem narodowym oraz łańcuchami dostaw powinny zakładać, że mogą stać się celem długofalowych operacji wywiadowczych.
Rekomendacje
Organizacje powinny priorytetowo traktować szybkie łatanie systemów Microsoft Exchange oraz innych usług wystawionych do internetu, zwłaszcza tam, gdzie istnieje ryzyko wykorzystania znanych łańcuchów ataku. Równie ważne jest regularne poszukiwanie web shelli, anomalii w usługach systemowych oraz nietypowych mechanizmów persystencji w rejestrze i harmonogramie zadań.
W środowiskach Windows należy monitorować przypadki DLL sideloading, szczególnie wtedy, gdy legalne aplikacje uruchamiane są z niestandardowych katalogów lub w towarzystwie podejrzanych plików konfiguracyjnych i bibliotek DLL. Warto wdrożyć kontrolę integralności plików wykonywalnych oraz korelację zdarzeń obejmującą procesy potomne, ładowanie bibliotek i połączenia sieciowe.
Kluczowe jest również ograniczanie ruchu lateralnego przez segmentację sieci, rygorystyczne zasady dostępu administracyjnego, kontrolę wykorzystania RDP oraz monitorowanie narzędzi takich jak Impacket. Dużą wartość ma także analiza zdarzeń uwierzytelniania, zwłaszcza logowań uprzywilejowanych wykonywanych poza standardowym wzorcem aktywności.
Zespoły SOC powinny rozszerzyć detekcję o zachowania typowe dla operacji wielofazowych, takie jak powrót na wcześniej naruszony host, wdrażanie nowego backdoora po usunięciu poprzedniego, etapowe pobieranie komponentów oraz korzystanie z domen imitujących zaufane usługi internetowe. W razie incydentu należy zakładać pełny hunting środowiskowy, a nie tylko usunięcie pojedynczego artefaktu.
Podsumowanie
Opisane kampanie pokazują, że nowoczesne operacje APT coraz częściej opierają się na odporności operacyjnej, a nie wyłącznie na skuteczności pojedynczego exploita. Salt Typhoon i Twill Typhoon wykorzystują różne techniki, ale łączy je ten sam model działania: trwały dostęp, elastyczne przełączanie narzędzi, wykorzystywanie legalnych komponentów oraz zdolność do ponownego wejścia do środowiska ofiary.
Dla organizacji oznacza to konieczność ciągłego monitorowania, szybkiego reagowania i pogłębionej analizy poincydentalnej. W szczególności sektory o znaczeniu strategicznym powinny przyjąć założenie, że przeciwnik będzie działał długoterminowo i adaptacyjnie, a skuteczna obrona wymaga zarówno prewencji, jak i dojrzałego wykrywania zagrożeń.
Źródła
- https://www.securityweek.com/chinese-apts-expand-targets-update-backdoors-in-recent-campaigns/
- https://businessinsights.bitdefender.com/
- https://blog.talosintelligence.com/
- https://www.darktrace.com/