Shadow Campaigns: TGR-STA-1030 włamuje się do rządów i infrastruktury krytycznej w 37 krajach - Security Bez Tabu

Shadow Campaigns: TGR-STA-1030 włamuje się do rządów i infrastruktury krytycznej w 37 krajach

Wprowadzenie do problemu / definicja luki

Palo Alto Networks Unit 42 opisał szeroko zakrojoną kampanię cyberwywiadowczą „Shadow Campaigns”, przypisywaną grupie śledzonej jako TGR-STA-1030 (alias UNC6619). W ciągu ostatniego roku operatorzy mieli skomromitować co najmniej 70 organizacji w 37 krajach, koncentrując się na administracji publicznej oraz podmiotach zaliczanych do infrastruktury krytycznej. Równolegle prowadzili rekonesans (skanowanie i rozpoznanie usług) wobec rządowej infrastruktury sieciowej powiązanej z 155 krajami.

To nie jest „jedna luka CVE” — to kampania łącząca socjotechnikę (phishing), wykorzystywanie znanych podatności (tzw. N-day) i narzędzia utrzymania dostępu, w tym nowy rootkit linuksowy.

W skrócie

  • Kto: TGR-STA-1030 (UNC6619), grupa oceniana jako state-aligned i operująca „z Azji” (bez wskazania państwa).
  • Skala: ≥70 ofiar / 37 krajów + rekonesans wobec infrastruktury rządowej w 155 krajach (XI–XII 2025).
  • Cele: ministerstwa (m.in. finansów), organy ścigania i kontroli granicznej, telekomy, instytucje związane z handlem, zasobami naturalnymi i dyplomacją.
  • Dostęp początkowy: phishing + próby eksploatacji znanych podatności (Microsoft, SAP, D-Link, Commvault, Atlassian Crowd CVE-2019-11580 i inne).
  • Najciekawsze TTP: nowy linuksowy rootkit eBPF nazwany ShadowGuard (ukrywanie procesów/plików w przestrzeni jądra).

Kontekst / historia / powiązania

Unit 42 wskazuje, że grupę zauważono początkowo przy kampaniach phishingowych przeciw europejskim rządom na początku 2025 r., a infrastruktura używana przez operatorów może sięgać stycznia 2024 r.

Badacze nie przypisali operacji konkretnemu państwu, ale opis (narzędzia „regionalne”, preferencje językowe, infrastrukturę i aktywność zgodną z GMT+8) uznają za spójny z profilem grup „z regionu”, a część publikacji branżowych wprost sugeruje chińską proweniencję na podstawie poszlak.

Wątek motywacji jest ważny: Unit 42 łączy czas wybranych aktywności z wydarzeniami geopolityczno-ekonomicznymi (handel, zasoby, dyplomacja), co wspiera tezę o wywiadzie gospodarczym jako głównym driverze kampanii.

Analiza techniczna / szczegóły luki

1) Phishing i loader „Diaoyu”

Unit 42 opisuje phishing z przynętą typu „zmiany organizacyjne w ministerstwie/urzędzie”, gdzie link prowadził do archiwum (m.in. hostowanego na mega[.]nz), a w środku znajdował się loader nazwany pierwotnie DiaoYu.exe (Diaoyu = „fishing”, czyli czytelne mrugnięcie okiem do phishingu).

Ciekawy element „anty-sandbox”:

  • wymaganie rozdzielczości poziomej ≥ 1440,
  • sprawdzenie obecności pliku pic1.png w katalogu uruchomienia (brak = ciche zakończenie).

Loader sprawdza też tylko kilka procesów AV/EDR (m.in. Kaspersky/Avira/Bitdefender/SentinelOne/Symantec) — nietypowo krótka lista, co może być próbą ograniczenia „szumu” i uniknięcia detekcji heurystycznej.

Po weryfikacji środowiska malware pobiera komponenty z GitHuba (repo już niedostępne) i finalnie instaluje Cobalt Strike.

2) Eksploatacja N-day (bez potwierdzonych zero-day)

Unit 42 podkreśla, że nie widział u tej grupy rozwoju/uruchomienia 0-day, ale widział szerokie użycie narzędzi i PoC dla N-day. Lista prób obejmuje m.in.:

  • SAP Solution Manager (eskalacja uprawnień),
  • Microsoft Exchange Server (RCE),
  • D-Link (RCE),
  • Commvault CommCell CVSearchService (auth bypass / download file),
  • oraz wiele innych klas ataków (SQLi, directory traversal, Struts2 OGNL RCE).

W raporcie pada też konkretny przykład ataku na Atlassian Crowd poprzez CVE-2019-11580 (upload payloadu „rce.jar”).

3) Narzędzia post-exploitation, websheele i tunelowanie

Grupa korzystała z mieszaniny popularnych frameworków C2 (historycznie Cobalt Strike, później przejście w kierunku VShell), a także webshelli (np. Behinder, Neo-reGeorg, Godzilla) oraz narzędzi tunelujących (GOST/FRPS/IOX).

4) ShadowGuard — nowy rootkit eBPF w jądrze Linuksa

Najbardziej „premium” elementem TTP jest ShadowGuard: rootkit oparty o eBPF, działający w przestrzeni jądra i przez to trudniejszy do wykrycia (brak klasycznego modułu, praca w BPF VM). Funkcje obejmują m.in.:

  • ukrywanie procesów (intercept syscall + „custom kill signals”, do 32 PID jednocześnie),
  • ukrywanie plików/katalogów o nazwach zaczynających się od swsecret,
  • mechanizm allow-list.

Praktyczne konsekwencje / ryzyko

  1. Ryzyko strategiczne (państwo/CI): kompromitacja parlamentu, urzędów, telekomów czy służb może oznaczać dostęp do wrażliwej korespondencji, planów operacyjnych, umów i negocjacji.
  2. Długi dwell time: raport wskazuje, że napastnicy potrafili utrzymywać dostęp „miesiącami” w części środowisk.
  3. Ukrywanie śladów na Linuksie: eBPF-rootkit zwiększa ryzyko, że standardowe narzędzia IR/EDR „w user-space” zobaczą zmanipulowany obraz systemu.
  4. Szeroki rekonesans = presja na ekspozycję usług: skanowanie ukierunkowane na infrastrukturę rządową w 155 krajach sugeruje „pipeline” do kolejnych włamań, szczególnie tam, gdzie patching i ekspozycja usług publicznych kuleją.

Rekomendacje operacyjne / co zrobić teraz

Jeśli odpowiadasz za administrację publiczną, telco, energetykę, transport, finanse lub inne sektory wrażliwe — potraktuj to jako checklistę „tu i teraz”:

1) Zabezpiecz wejście: phishing + poczta

  • Wymuś MFA odporne na phishing (FIDO2/WebAuthn) przynajmniej dla kont uprzywilejowanych i poczty.
  • Zaostrz polityki dla załączników/archiwów i linków: sandbox + detekcje na nietypowe „archiwa-przynęty”.
  • Doszkol użytkowników pod scenariusze „wewnętrznego pisma/zmiany organizacyjnej” (to dosłowna przynęta z raportu).

2) Patch management ukierunkowany na TTP

  • Zrób szybki przegląd ekspozycji i aktualizacji dla klas systemów, które grupa próbowała eksploatować (Microsoft Exchange/OMI, SAP Solution Manager, Atlassian Crowd, Commvault, urządzenia sieciowe klasy D-Link i inne wskazane przez Unit 42).
  • Priorytetyzuj internet-facing usługi i tam, gdzie historycznie wdrażanie poprawek jest opóźnione.

3) Telemetria i detekcje pod Linuksa/eBPF

  • Monitoruj nietypowe użycie eBPF/tracepointów oraz anomalia w syscallach (w praktyce: włącz i centralizuj audyt, rozważ kernel-level telemetry tam, gdzie to możliwe).
  • Szukaj artefaktów: ukryte ścieżki/zasoby powiązane z nazwą swsecret, nietypowe sygnały kill używane do „sterowania” ukrywaniem PID.

4) Polowanie na IOC i infrastruktury

  • Unit 42 publikuje wskaźniki i opis infrastruktury — w praktyce: zaciągnij IOC do SIEM/EDR, odpal retro-hunt (min. 90–180 dni), sprawdź egress i nietypowe tunelowanie.

5) IR readiness

  • Załóż, że kompromitacja mogła dotyczyć poczty i serwerów zewnętrznych: przygotuj playbook pod exfil z email serverów, rotację sekretów, przegląd kont uprzywilejowanych, oraz „clean rebuild” krytycznych hostów linuksowych w razie potwierdzenia rootkita.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W warstwie skali część komentatorów porównuje tę operację do największych kampanii szpiegowskich ostatnich lat — Axios wskazuje, że to jedna z najszerszych kampanii przypisywanych pojedynczej grupie od czasu SolarWinds (2020), przy czym tu nie mówimy o kompromitacji łańcucha dostaw, tylko o miksie phishingu, N-day i agresywnego rekonesansu.

W warstwie techniki ShadowGuard wyróżnia się użyciem eBPF w jądrze Linuksa — to inny poziom „stealth” niż typowe webshelle i klasyczne implanty w user-space, co komplikuje zarówno detekcję, jak i wiarygodną ocenę zakresu naruszenia.

Podsumowanie / kluczowe wnioski

  • TGR-STA-1030 to kampania o realnej masie: 37 krajów dotkniętych włamaniami i 155 krajów objętych rekonesansem (XI–XII 2025).
  • Operatorzy łączą „zwykły” phishing i N-day z bardziej zaawansowanym utrzymaniem dostępu — w tym nowym eBPF rootkitem ShadowGuard.
  • Największa wartość obrony jest teraz w podstawach: szybkie łatanie, redukcja ekspozycji usług, twarde MFA, oraz telemetria/IR gotowe na scenariusz kompromitacji Linuksa na poziomie jądra.

Źródła / bibliografia

  1. Palo Alto Networks Unit 42 — The Shadow Campaigns: Uncovering Global Espionage (Unit 42)
  2. SecurityWeek — Cyberspy Group Hacked Governments and Critical Infrastructure in 37 Countries (SecurityWeek)
  3. Cybersecurity Dive — Asian government’s espionage campaign breached critical infrastructure in 37 countries (Cybersecurity Dive)
  4. Axios — Hackers breach 37 countries in ongoing espionage campaign (Axios)
  5. The Register — Asia-based government spies quietly broke into critical networks across 37 countries (The Register)