Daxin ponownie aktywny na Tajwanie. Backdoor Stupig ujawnia nowy poziom trwałości operacji APT - Security Bez Tabu

Daxin ponownie aktywny na Tajwanie. Backdoor Stupig ujawnia nowy poziom trwałości operacji APT

Cybersecurity news

Wprowadzenie do problemu / definicja

Daxin to zaawansowane złośliwe oprogramowanie działające w trybie jądra systemu Windows, kojarzone z długotrwałymi operacjami cyberwywiadowczymi przeciwko podmiotom o wysokiej wartości. Najnowsza analiza wskazuje, że zagrożenie ponownie ujawniono w środowisku firmy produkcyjnej na Tajwanie, gdzie obok niego wykryto wcześniej nieopisywany backdoor nazwany Stupig.

Sprawa jest istotna, ponieważ pokazuje, że aktorzy APT nadal skutecznie łączą techniki ukrywania aktywności, trwałości i działania w zaufanych komponentach systemu. W praktyce oznacza to możliwość wieloletniego utrzymywania dostępu bez wzbudzania podejrzeń standardowych mechanizmów bezpieczeństwa.

W skrócie

  • Daxin został wykryty na skompromitowanym hoście w 2026 roku w tajwańskiej spółce zależnej międzynarodowego producenta z sektora high-tech.
  • Na tej samej maszynie znaleziono nowy backdoor Stupig, umożliwiający wykonywanie poleceń z uprawnieniami SYSTEM jeszcze przed zalogowaniem użytkownika.
  • Oba komponenty mają znaczniki kompilacji wskazujące na początek 2013 roku, co sugeruje możliwość bardzo długiej obecności napastników w środowisku.
  • Kampania pokazuje wysoki poziom dyscypliny operacyjnej i wykorzystanie niestandardowych metod komunikacji oraz trwałości.

Kontekst / historia

Daxin został publicznie opisany już wcześniej jako wyjątkowo zaawansowany backdoor używany w działaniach wymierzonych między innymi w administrację publiczną i infrastrukturę krytyczną. Narzędzie wyróżniało się sposobem komunikacji z operatorem, znacznie trudniejszym do wykrycia niż klasyczne połączenia wychodzące do serwerów C2.

Nowe ustalenia sugerują, że operacja nie zakończyła się wraz z wcześniejszym ujawnieniem narzędzia, lecz mogła przejść w fazę cichego utrzymywania dostępu. W analizowanym incydencie telemetria z hosta pojawiła się dopiero 12 maja 2026 roku, ale znaczniki kompilacji analizowanych artefaktów wskazują na 2013 rok. Nie potwierdza to ciągłej obecności przez cały okres, jednak wyraźnie podnosi prawdopodobieństwo długotrwałej, ukrytej kompromitacji.

Badacze zwrócili również uwagę na możliwy historyczny wektor wejścia związany ze starym portalem SSO Digiwin oraz przestarzałymi środowiskami JDK 1.5 i 1.6. Takie systemy, utrzymywane przez lata bez gruntownej modernizacji, pozostają atrakcyjnym celem dla zaawansowanych grup, ponieważ zwykle cechują się przewidywalną konfiguracją i niską odpornością na współczesne techniki ataku.

Analiza techniczna

Daxin działa jako sterownik kernel-mode i pełni rolę ukrytego kanału dostępu do systemu. Jego najbardziej charakterystyczną cechą jest model komunikacji C2. Zamiast zestawiać typowe połączenia wychodzące do infrastruktury atakującego, malware obserwuje przychodzący ruch TCP, wyszukuje określone wzorce i przejmuje istniejące legalne sesje do przesyłania zaszyfrowanej komunikacji sterującej.

Taka technika znacząco utrudnia detekcję, ponieważ aktywność operatora może wyglądać jak część normalnego ruchu sieciowego. Daxin wspiera również komunikację wieloskokową pomiędzy łańcuchami zainfekowanych hostów, co pozwala docierać do systemów odseparowanych od Internetu lub umieszczonych w bardziej restrykcyjnych segmentach sieci.

Stupig stosuje inny, ale uzupełniający model działania. Backdoor przyjmuje formę biblioteki DLL podszywającej się pod legalny komponent związany z układem klawiatury. Mechanizm trwałości polega na zarejestrowaniu biblioteki jako dostawcy układu klawiatury, co powoduje jej załadowanie przez win32k.sys do procesu winlogon.exe podczas uruchamiania systemu.

Biblioteka zwraca prawidłowy wskaźnik struktur KBDTABLES, dzięki czemu zachowuje pozory legalnego działania i nie zakłóca pracy klawiatury. Po załadowaniu do winlogon.exe malware monitoruje ekran logowania Windows. Jeśli w polu nazwy użytkownika pojawi się ciąg zaczynający się od prefiksu „stupig”, dalsza część wpisu jest interpretowana jako polecenie wykonywane z uprawnieniami SYSTEM.

W przypadku braku komendy po prefiksie backdoor uruchamia sesję wiersza poleceń z uprawnieniami SYSTEM bezpośrednio na ekranie logowania. To szczególnie niebezpieczne rozwiązanie, ponieważ umożliwia wykonywanie poleceń i potencjalną kradzież poświadczeń jeszcze przed pełnym zalogowaniem użytkownika, a przy tym może omijać typowe zdarzenia audytowe związane z logowaniem.

Choć badacze nie wskazali bezpośrednich nakładających się fragmentów kodu pomiędzy Daxin i Stupig, współwystępowanie obu narzędzi na tej samej maszynie, zbliżony profil operacyjny oraz podobne znaczniki czasowe kompilacji sugerują wspólne pochodzenie albo ścisłą koordynację po stronie operatorów.

Konsekwencje / ryzyko

Największym zagrożeniem w tego typu kampanii jest długotrwała i trudna do zauważenia obecność przeciwnika w środowisku organizacji. Rootkit działający w jądrze systemu daje szerokie możliwości ukrywania aktywności, natomiast backdoor uruchamiany w procesie winlogon.exe zapewnia uprzywilejowany dostęp na bardzo wczesnym etapie działania systemu.

  • kradzież poświadczeń i danych uwierzytelniających,
  • utrzymanie trwałej infiltracji sieci korporacyjnej,
  • przemieszczanie się pomiędzy hostami i segmentami,
  • obchodzenie klasycznych mechanizmów detekcji sieciowej,
  • dostęp do systemów o ograniczonej łączności z Internetem,
  • ryzyko wycieku własności intelektualnej oraz danych produkcyjnych.

Szczególnie narażone pozostają organizacje przemysłowe oraz producenci zaawansowanych technologii, gdzie wartość danych projektowych, operacyjnych i informacji o łańcuchu dostaw jest bardzo wysoka. Dodatkowym problemem jest ukrywanie aktywności w zaufanych procesach systemowych, co osłabia skuteczność wielu standardowych procedur monitoringu SOC.

Rekomendacje

Organizacje powinny potraktować ten incydent jako sygnał do przeglądu odporności środowisk Windows, zwłaszcza tam, gdzie nadal funkcjonują starsze aplikacje biznesowe i niewspierane komponenty uwierzytelniania.

  • przeprowadzić audyt systemów korzystających z przestarzałych portali SSO, starych środowisk Java i niewspieranych aplikacji,
  • monitorować integralność sterowników kernel-mode oraz listę modułów ładowanych w procesach krytycznych, takich jak winlogon.exe,
  • wdrożyć wykrywanie anomalii dla nietypowych bibliotek DLL rejestrowanych jako układy klawiatury,
  • analizować artefakty autostartu oraz wpisy związane z providerami layoutów klawiatury,
  • rozszerzyć telemetrykę EDR o aktywność występującą przed logowaniem użytkownika,
  • segmentować sieć i ograniczać możliwość komunikacji lateralnej między hostami,
  • zaostrzyć kontrolę dostępu uprzywilejowanego i regularnie rotować poświadczenia administracyjne,
  • prowadzić threat hunting pod kątem nadużyć legalnych połączeń TCP i nietypowych wzorców ruchu w istniejących sesjach,
  • regularnie przeglądać pamięć, sterowniki i moduły ładowane przez procesy systemowe,
  • aktualizować lub wycofywać starsze aplikacje, które mogą stanowić historyczny punkt wejścia.

Z perspektywy zespołów reagowania na incydenty kluczowe jest zabezpieczenie pełnych obrazów pamięci, artefaktów dyskowych i telemetrii sieciowej. W przypadku zagrożeń tej klasy klasyczne skanowanie antywirusowe zwykle nie wystarcza, a analiza powinna obejmować zależności między sterownikami, procesami systemowymi i mechanizmami trwałości.

Podsumowanie

Ponowne pojawienie się Daxin i identyfikacja backdoora Stupig pokazują, że zaawansowane kampanie cyberwywiadowcze mogą pozostawać aktywne przez wiele lat. Połączenie trwałości, niskiej wykrywalności, działania w trybie jądra oraz dostępu SYSTEM jeszcze przed logowaniem użytkownika znacząco zwiększa możliwości operatora i utrudnia obronę.

Dla organizacji to wyraźny sygnał, że bezpieczeństwo środowisk Windows należy oceniać szerzej niż tylko przez pryzmat klasycznych alertów endpointowych. Szczególnej uwagi wymagają starsze systemy, niewspierane komponenty i procesy systemowe, które zbyt często pozostają poza głównym obszarem monitoringu.

Źródła

  1. Broadcom Symantec Threat Hunter Team — Daxin Resurfaces in Taiwan Alongside Stupig Pre-Login SYSTEM Backdoor — https://news.broadcom.com/security/daxin-resurfaces-in-taiwan-alongside-stupig-pre-login-system-backdoor
  2. The Hacker News — Daxin Resurfaces in Taiwan Alongside Stupig Pre-Login SYSTEM Backdoor — https://thehackernews.com/2026/07/daxin-resurfaces-in-taiwan-alongside.html
  3. Symantec Enterprise Blogs — Daxin: The Hidden Backdoor in Networks — https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/daxin-backdoor-espionage