
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Daxin to zaawansowane złośliwe oprogramowanie typu rootkit działające w trybie jądra systemu Windows, od lat wiązane z operacjami cyberszpiegowskimi wymierzonymi w organizacje o wysokiej wartości. Najnowsze ustalenia pokazują, że zagrożenie nie jest wyłącznie historycznym artefaktem kampanii APT, ale nadal funkcjonuje operacyjnie w realnym środowisku produkcyjnym.
W tym samym incydencie badacze ujawnili również drugi komponent, wcześniej nieopisany backdoor nazwany Stupig. Jego działanie jest szczególnie niepokojące, ponieważ umożliwia wykonywanie poleceń z uprawnieniami SYSTEM jeszcze przed standardowym uwierzytelnieniem użytkownika.
W skrócie
- Badacze wykryli aktywnego Daxina na hoście należącym do tajwańskiej spółki zależnej międzynarodowego producenta zaawansowanych technologii.
- Na tej samej maszynie znaleziono nowy backdoor Stupig.
- Znaczniki kompilacji obu komponentów wskazują na początek 2013 roku.
- Telemetria związana z tym hostem pojawiła się dopiero w maju 2026 roku, co sugeruje możliwość wieloletniej, niezauważonej obecności napastnika.
- Daxin ukrywa komunikację C2 w legalnym ruchu sieciowym, a Stupig zapewnia dostęp uprzywilejowany przed logowaniem.
Kontekst / historia
Daxin został po raz pierwszy szerzej opisany publicznie w 2022 roku jako narzędzie wykorzystywane w atakach na administrację oraz infrastrukturę krytyczną. Już wtedy eksperci zwracali uwagę na jego nietypową architekturę, wysoki poziom ukrycia oraz zdolność do działania w środowiskach o podwyższonych wymaganiach bezpieczeństwa.
Nowe ustalenia pokazują jednak, że malware nie zniknął wraz z wcześniejszymi kampaniami. Przeciwnie, nadal może być używany operacyjnie, a jego obecność w środowisku producenta z sektora high-tech wskazuje, że zaawansowane grupy wciąż korzystają ze starych, ale skutecznych narzędzi.
Badacze podejrzewają, że jednym z możliwych wektorów wejścia mógł być przestarzały portal single sign-on Digiwin, działający na niewspieranych wersjach Java Development Kit 1.5 i 1.6. Taki scenariusz dobrze wpisuje się w znany model działań APT: wykorzystanie zaniedbanego systemu brzegowego, a następnie budowanie długotrwałej i trudnej do wykrycia obecności w sieci ofiary.
Analiza techniczna
Daxin działa jako sterownik jądra Windows, co pozostaje rzadkością nawet wśród zaawansowanych rodzin malware. Z perspektywy technicznej jego najważniejszą cechą jest odejście od klasycznego modelu komunikacji z serwerem dowodzenia. Zamiast tworzyć osobne połączenia wychodzące, malware obserwuje przychodzący ruch TCP, rozpoznaje określone wzorce i przejmuje istniejące legalne sesje, aby osadzić w nich zaszyfrowany kanał komunikacyjny.
Taka technika znacząco utrudnia wykrycie. Tradycyjne systemy bezpieczeństwa często koncentrują się na analizie nowych połączeń wychodzących, reputacji domen lub adresów IP oraz prostych anomaliach ruchu. W przypadku Daxina komunikacja może wyglądać jak zwykła, legalna wymiana danych, co ogranicza skuteczność standardowych metod detekcji.
Dodatkowo rootkit wspiera komunikację wieloskokową. Oznacza to, że operatorzy mogą docierać do systemów odizolowanych od internetu poprzez łańcuch wcześniej przejętych hostów. To cecha szczególnie istotna w sieciach silnie segmentowanych, środowiskach przemysłowych oraz infrastrukturze o ograniczonej łączności zewnętrznej.
Drugim wykrytym komponentem jest Stupig, czyli backdoor zamaskowany jako biblioteka przypominająca legalny plik układu klawiatury systemu Windows. Rejestruje się on jako provider układu klawiatury, dzięki czemu zostaje załadowany przez win32k.sys do procesu winlogon.exe podczas startu systemu. Jednocześnie zwraca poprawne struktury danych związane z obsługą klawiatury, przez co może nie wzbudzać podejrzeń podczas pobieżnej inspekcji.
Po uruchomieniu w procesie winlogon.exe Stupig monitoruje ekran logowania i interpretuje nazwy użytkowników rozpoczynające się od określonego prefiksu jako polecenia. Dane wpisane po tym prefiksie mogą zostać wykonane z uprawnieniami SYSTEM. W praktyce oznacza to możliwość uruchomienia komend, a nawet otwarcia powłoki systemowej bez klasycznego logowania użytkownika, co istotnie ogranicza widoczność działań napastnika w standardowych mechanizmach audytu.
Choć nie ma publicznego, jednoznacznego dowodu technicznego, że Daxin i Stupig zostały stworzone przez dokładnie ten sam zespół deweloperski, ich współwystępowanie na tym samym hoście, zbieżne znaczniki czasu kompilacji oraz komplementarne funkcje sugerują wspólne użycie w ramach jednej operacji.
Konsekwencje / ryzyko
Najpoważniejsze zagrożenie wynika z możliwości wieloletniej, skrytej obecności przeciwnika w sieci organizacji. Jeśli kompromitacja rzeczywiście utrzymywała się od 2013 roku, może to oznaczać jeden z najbardziej niepokojących przykładów trwałości dostępu w środowisku korporacyjnym. Taki scenariusz stwarza warunki do długotrwałego wycieku danych, mapowania infrastruktury, kradzieży poświadczeń, przygotowania działań sabotażowych lub wykorzystania zasobów ofiary jako punktu pośredniego do kolejnych operacji.
Daxin podważa skuteczność tradycyjnych modeli wykrywania ruchu C2, ponieważ nie musi inicjować nowych połączeń wychodzących. Z kolei Stupig rozszerza powierzchnię ataku o obszar przed uwierzytelnieniem, który w wielu organizacjach pozostaje słabiej monitorowany niż aktywność po zalogowaniu użytkownika.
Ryzyko jest szczególnie wysokie w firmach produkcyjnych oraz organizacjach utrzymujących starsze systemy z powodów operacyjnych, kompatybilnościowych lub biznesowych. Dotyczy to zwłaszcza środowisk OT, systemów ERP o długim cyklu życia, przestarzałych komponentów Java oraz historycznych rozwiązań SSO, które często stają się słabym ogniwem całej architektury bezpieczeństwa.
Rekomendacje
Organizacje powinny rozpocząć od przeglądu systemów obciążonych długiem technicznym, zwłaszcza publicznie dostępnych portali SSO, starszych komponentów Java oraz serwerów Windows o ograniczonej telemetrii. Systemy działające na niewspieranych wersjach oprogramowania należy jak najszybciej zaktualizować, odizolować lub wycofać z użycia.
W obszarze detekcji warto wdrożyć monitoring ładowania niestandardowych bibliotek DLL do procesu winlogon.exe oraz kontrolę zmian w konfiguracji providerów układów klawiatury. Każda biblioteka przypominająca legalny plik systemowy, ale pochodząca z nietypowej lokalizacji lub niespełniająca standardów integralności, powinna zostać potraktowana priorytetowo.
Równie istotne jest monitorowanie tworzenia i ładowania sterowników jądra, szczególnie komponentów niepodpisanych, rzadko spotykanych lub osadzonych poza typowymi ścieżkami systemowymi. W praktyce oznacza to potrzebę połączenia telemetrii hostowej, pamięciowej i sieciowej, a nie polegania wyłącznie na pojedynczych źródłach zdarzeń.
Na poziomie sieciowym zalecane jest odejście od prostego wykrywania ruchu C2 wyłącznie na podstawie połączeń wychodzących. Skuteczniejszym podejściem będzie głębsza analiza przepływów, korelacja zachowania hosta z danymi sieciowymi oraz identyfikowanie anomalii wewnątrz legalnych sesji TCP. W środowiskach krytycznych warto dodatkowo rozważyć segmentację z kontrolą ruchu lateralnego oraz inspekcję komunikacji między hostami pośredniczącymi.
W ramach threat huntingu zespoły bezpieczeństwa powinny skupić się na następujących obszarach:
- sprawdzenie trwałości opartej o sterowniki jądra,
- analiza nietypowych modułów ładowanych podczas logowania,
- weryfikacja artefaktów związanych z układami klawiatury,
- kontrola historii zmian na hostach administracyjnych i systemach dostępowych,
- retrospektywna analiza logów oraz obrazów pamięci pod kątem mechanizmów wykonania kodu przed uwierzytelnieniem.
Dodatkowo warto wdrożyć kontrolę integralności procesów logowania, rozwiązania EDR z widocznością na poziomie kernel i memory telemetry oraz regularne ćwiczenia incident response dla scenariuszy długotrwałej obecności przeciwnika.
Podsumowanie
Przypadek Daxina i Stupiga pokazuje, że najbardziej niebezpieczne operacje APT nie zawsze opierają się na głośnych exploitach dnia zerowego. Często znacznie większym problemem okazuje się połączenie przestarzałej infrastruktury, niewystarczającej widoczności telemetrycznej oraz niestandardowych technik ukrywania obecności.
Daxin pozostaje przykładem malware projektowanego z myślą o środowiskach wysokiego ryzyka, w których klasyczne metody wykrywania mogą zawodzić. Stupig uzupełnia ten model o wyjątkowo trudny do zauważenia backdoor działający przed logowaniem. Dla zespołów bezpieczeństwa to wyraźny sygnał, że monitoring procesów logowania, komponentów jądra oraz starszych systemów dostępowych powinien stać się integralną częścią strategii obronnej.