Archiwa: APT - Strona 2 z 44 - Security Bez Tabu

Rosyjskie grupy APT nadal wykorzystują lukę WinRAR CVE-2025-8088 mimo dostępnej poprawki

Wprowadzenie do problemu / definicja

CVE-2025-8088 to podatność typu path traversal w aplikacji WinRAR dla systemu Windows. Błąd pozwala na zapisanie plików poza katalogiem wskazanym do rozpakowania, z wykorzystaniem mechanizmów NTFS Alternate Data Streams, co może prowadzić do uruchomienia złośliwego kodu po otwarciu spreparowanego archiwum.

Choć producent udostępnił poprawkę w wersji WinRAR 7.13, luka pozostaje aktywnie wykorzystywana przez zaawansowane grupy zagrożeń. To pokazuje, że samo wydanie aktualizacji nie kończy ryzyka, jeśli organizacje nie wdrożą jej szybko i kompleksowo.

W skrócie

Rosyjskie grupy APT nadal używają CVE-2025-8088 jako wektora początkowego dostępu.
Kampanie są wymierzone głównie w organizacje ukraińskie i opierają się na spear-phishingu z archiwami RAR.
Atak prowadzi do zapisania złośliwych plików m.in. w folderze autostartu Windows.
Badacze opisali co najmniej dwa odrębne klastry aktywności: Earth Dahu oraz SHADOW-EARTH-066.
W części kampanii końcowy malware koncentruje się na kradzieży danych z przeglądarek i dokumentów użytkownika.

Kontekst / historia

Podatność została uznana za istotne zagrożenie, ponieważ dotyczy jednego z najpopularniejszych narzędzi do obsługi archiwów w środowisku Windows. WinRAR jest szeroko używany zarówno w firmach, jak i administracji, a jednocześnie często nie podlega tak ścisłemu nadzorowi aktualizacji jak system operacyjny czy przeglądarki.

To właśnie ten czynnik wydłuża okno ekspozycji. W praktyce wiele organizacji przez długi czas pozostaje podatnych nawet po publikacji poprawki, ponieważ aplikacje użytkowe bywają pomijane w procesach patch management. Operatorzy APT wykorzystują ten stan, łącząc lukę z wiarygodnie przygotowanymi przynętami, takimi jak wezwania sądowe, rejestry administracyjne czy dokumenty związane ze sprzętem wojskowym.

Analiza techniczna

Mechanizm ataku jest relatywnie prosty po stronie ofiary. Użytkownik otwiera archiwum RAR i widzi dokument-wabik, najczęściej plik PDF lub podobny materiał mający wzbudzić zaufanie. W tle dochodzi jednak do zapisania dodatkowych plików poza katalogiem ekstrakcji, w tym do lokalizacji odpowiedzialnych za automatyczne uruchamianie składników po zalogowaniu do systemu.

W kampaniach przypisywanych klastrowi SHADOW-EARTH-066 zaobserwowano bardziej rozwinięty łańcuch infekcji. Złośliwe archiwum umieszczało skrót LNK w folderze autostartu, loader PowerShell w katalogu ProgramData oraz zakodowany ładunek DLL. Loader korzystał z technik utrudniających analizę, w tym silnego zaciemnienia i ładowania końcowego modułu wyłącznie do pamięci, bez pozostawiania odszyfrowanej biblioteki na dysku.

Końcowy malware miał charakter stealerowy i był ukierunkowany na pozyskanie danych z przeglądarek internetowych. Obejmowało to m.in. klucze główne, hasła oraz cookies sesyjne z popularnych aplikacji, a także wyszukiwanie dokumentów, arkuszy, prezentacji, baz KeePass czy plików konfiguracyjnych OpenVPN. Po eksfiltracji danych część artefaktów była usuwana, co ograniczało ilość śladów pozostających na stacji roboczej.

Earth Dahu wykorzystywał odmienny model operacyjny, mimo użycia tej samej podatności jako punktu wejścia. Zamiast rozbudowanego łańcucha ładowania grupa umieszczała w folderze autostartu pojedynczy plik HTA lub VBScript. Przy kolejnym logowaniu uruchamiał się proces mshta.exe, który pobierał dalsze skrypty i komponenty szpiegowskie. W kampaniach widoczne były też próby maskowania infrastruktury C2 przez adresy mające sprawiać wrażenie odwołań do zaufanych domen.

Wspólny mianownik tych działań jest niepokojący: do rozpoczęcia łańcucha infekcji wystarczy otwarcie odpowiednio spreparowanego archiwum. Z perspektywy zespołów obronnych oznacza to konieczność monitorowania nie tylko uruchomień plików wykonywalnych, ale również nietypowych operacji zapisu związanych z obsługą archiwów.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem wykorzystania CVE-2025-8088 jest przejście od pozornie zwykłego otwarcia archiwum do wykonania kodu w kontekście użytkownika. W organizacjach rządowych, wojskowych i administracyjnych może to prowadzić do kradzieży poświadczeń, przejęcia sesji przeglądarkowych, eksfiltracji dokumentów operacyjnych oraz dalszego ruchu bocznego w sieci.

Dodatkowym problemem jest wykorzystanie legalnego i powszechnie akceptowanego narzędzia. Aktywność związana z WinRAR może początkowo nie wyglądać jak klasyczne użycie exploita, przez co korelacja incydentu w SOC staje się trudniejsza. Jeżeli organizacja nie śledzi wersji aplikacji użytkowych, luka może pozostać niewidoczna mimo formalnej dostępności poprawki.

Rekomendacje

Najważniejszym krokiem jest natychmiastowe potwierdzenie wersji WinRAR we wszystkich systemach i aktualizacja do wersji 7.13 lub nowszej. Organizacje nie powinny opierać się na założeniu, że użytkownicy samodzielnie instalują poprawki dla oprogramowania spoza standardowego łańcucha aktualizacji systemu.

zinwentaryzować wszystkie instalacje WinRAR i podobnych narzędzi archiwizujących,
monitorować tworzenie plików LNK, HTA, VBS oraz skryptów PowerShell w folderach autostartu i katalogu ProgramData,
blokować lub ograniczać użycie mshta.exe, wscript.exe i cscript.exe tam, gdzie nie są wymagane biznesowo,
objąć archiwa RAR analizą sandboxową i kontrolą zawartości na bramach pocztowych,
wdrożyć reguły wykrywające zapisy plików poza katalogiem wypakowania,
zwiększyć świadomość użytkowników w zakresie spear-phishingu i dokumentów-przynęt,
prowadzić threat hunting pod kątem kradzieży danych z przeglądarek oraz krótkotrwałych artefaktów usuwanych po eksfiltracji.

W środowiskach wysokiego ryzyka warto dodatkowo rozważyć application control, ograniczenie wykonywania skryptów z lokalizacji użytkownika oraz przegląd bezpieczeństwa skrzynek pocztowych pod kątem przejęć i nadużyć w komunikacji wewnętrznej.

Podsumowanie

CVE-2025-8088 pokazuje, że podatność nie przestaje być groźna w chwili publikacji poprawki. Dopóki organizacje nie wdrożą aktualizacji i nie skontrolują ekspozycji, luka pozostaje praktycznym narzędziem dla grup APT prowadzących ataki ukierunkowane.

Opisane kampanie Earth Dahu i SHADOW-EARTH-066 potwierdzają, że archiwa RAR nadal stanowią skuteczny nośnik infekcji, szczególnie gdy są połączone ze spear-phishingiem, mechanizmami autostartu i ładowaniem malware do pamięci. Dla obrońców kluczowe znaczenie mają szybkie aktualizacje, dobra telemetria endpointów oraz detekcja nietypowych ścieżek zapisu i uruchamiania kodu.

Źródła

CVE-2026-5027 w Langflow: niezałatana luka umożliwia nieuwierzytelnione zdalne wykonanie kodu

Wprowadzenie do problemu / definicja

W ekosystemie narzędzi do budowy aplikacji AI rośnie liczba incydentów związanych z bezpieczeństwem komponentów open source. Jednym z najnowszych przykładów jest podatność CVE-2026-5027 w Langflow, platformie low-code służącej do projektowania przepływów pracy dla aplikacji opartych na sztucznej inteligencji. Problem ma charakter path traversal i może prowadzić do zapisu plików w dowolnych lokalizacjach systemu plików, a w praktyce również do zdalnego wykonania kodu bez uwierzytelnienia.

W skrócie

CVE-2026-5027 to luka wysokiego ryzyka w Langflow, oceniona na 8.8 w skali CVSS. Podatność dotyczy endpointu odpowiedzialnego za przesyłanie plików i wynika z braku poprawnej sanitizacji parametru nazwy pliku. Atakujący może wykorzystać sekwencje przejścia po katalogach do zapisu plików poza oczekiwanym katalogiem aplikacji.

Dodatkowym problemem jest domyślne zachowanie platformy, które umożliwia automatyczne logowanie bez uwierzytelnienia, co znacząco upraszcza eksploatację. Według dostępnych informacji luka jest już aktywnie wykorzystywana w środowisku rzeczywistym.

Kontekst / historia

Langflow jest wykorzystywany do szybkiego budowania oraz orkiestracji aplikacji AI, co sprawia, że często trafia do środowisk testowych, deweloperskich, a niekiedy również produkcyjnych. Tego typu platformy bywają wystawiane bezpośrednio do internetu, ponieważ mają zapewniać wygodny dostęp zespołom technicznym.

Podatność została opisana jako niezałatana w momencie nagłośnienia sprawy. Badacze wskazali, że problem był wcześniej zgłaszany opiekunom projektu, a następnie publicznie ujawniony po nieudanych próbach koordynacji procesu naprawy. Równolegle pojawiły się obserwacje wskazujące na aktywne próby wykorzystania błędu przeciwko publicznie dostępnym instancjom. To wpisuje się w szerszy trend ataków na narzędzia wspierające rozwój i wdrażanie rozwiązań AI.

Analiza techniczna

Źródłem problemu jest endpoint POST /api/v2/files, który nie filtruje poprawnie parametru filename przekazywanego w danych multipart. W praktyce oznacza to możliwość użycia sekwencji takich jak ../ do zapisu pliku poza przewidzianą lokalizacją roboczą aplikacji.

Sam path traversal nie zawsze oznacza natychmiastowe przejęcie hosta, ale w tym przypadku ryzyko rośnie ze względu na charakter platformy i sposób jej wdrażania. Jeśli proces Langflow działa z odpowiednimi uprawnieniami, atakujący może zapisać plik w miejscu, które zostanie później wykonane lub załadowane przez aplikację, przez interpreter albo przez elementy środowiska uruchomieniowego. To właśnie ten etap otwiera drogę do zdalnego wykonania kodu.

Krytyczny jest również aspekt nieuwierzytelnionego dostępu. Jeżeli instancja działa z domyślną konfiguracją automatycznego logowania, napastnik nie potrzebuje ważnych poświadczeń, aby uzyskać sesję i następnie wywołać podatny endpoint. W efekcie łańcuch ataku może ograniczać się do pojedynczego żądania inicjującego sesję oraz kolejnego żądania zapisującego złośliwy plik.

Dotychczas obserwowane działania wskazywały między innymi na zapisywanie plików testowych na systemach ofiar. Taki wzorzec często oznacza fazę rozpoznania lub weryfikacji podatności przed wdrożeniem pełnego ładunku malware, web shella albo mechanizmu trwałości.

Konsekwencje / ryzyko

Najpoważniejszą konsekwencją CVE-2026-5027 jest możliwość pełnego kompromitowania podatnych instancji Langflow. Skutki mogą obejmować:

zdalne wykonanie kodu na serwerze,
kradzież danych przetwarzanych przez aplikacje AI,
przejęcie tokenów API, sekretów i kluczy dostępowych,
pivoting do innych systemów w sieci,
wdrożenie backdoora lub mechanizmów trwałości,
wykorzystanie hosta do dalszych ataków.

Ryzyko jest szczególnie wysokie tam, gdzie Langflow ma dostęp do wrażliwych integracji, takich jak modele LLM, bazy danych wektorowych, systemy CI/CD, repozytoria kodu, magazyny sekretów lub zasoby chmurowe. W takich środowiskach pozornie lokalna podatność aplikacyjna może szybko przerodzić się w incydent obejmujący większą część infrastruktury.

Istotnym czynnikiem ryzyka jest również ekspozycja internetowa. Publicznie dostępne instancje narzędzi developerskich są regularnie skanowane przez cyberprzestępców i grupy APT. Jeśli luka jest już przedmiotem aktywnej eksploatacji, czas reakcji obrońców staje się kluczowy.

Rekomendacje

Organizacje korzystające z Langflow powinny potraktować tę podatność jako incydent wysokiego priorytetu i wdrożyć działania ograniczające ryzyko natychmiast, nawet jeśli oficjalna poprawka nie jest jeszcze dostępna.

Najważniejsze kroki operacyjne:

odłączyć publicznie dostępne instancje Langflow od internetu lub ograniczyć do nich dostęp przez VPN, reverse proxy i listy dozwolonych adresów IP,
wyłączyć lub ograniczyć mechanizmy automatycznego logowania, jeśli konfiguracja na to pozwala,
zablokować lub ściśle filtrować dostęp do endpointów przesyłania plików,
uruchamiać usługę z minimalnymi uprawnieniami systemowymi,
wdrożyć izolację kontenerową oraz kontrolę zapisu do systemu plików,
monitorować logi HTTP pod kątem żądań zawierających sekwencje ../, nietypowe nazwy plików i anomalie w uploadzie,
przeszukać hosty pod kątem nieoczekiwanych plików utworzonych przez proces Langflow,
zweryfikować integralność kontenerów, obrazów i wolumenów trwałych,
rotować sekrety, tokeny API i poświadczenia przechowywane na hostach, które mogły zostać naruszone,
wdrożyć reguły detekcji dla prób path traversal oraz nietypowych zapisów plików przez aplikacje webowe.

Z perspektywy architektury bezpieczeństwa warto także ograniczyć zaufanie do narzędzi AI działających w sieci wewnętrznej. Platformy tego typu powinny być segmentowane, objęte kontrolą tożsamości i traktowane jak systemy wysokiego ryzyka, szczególnie jeśli mają dostęp do danych, modeli lub zasobów produkcyjnych.

Podsumowanie

CVE-2026-5027 pokazuje, że narzędzia do budowy aplikacji AI stają się atrakcyjnym celem ataków. W tym przypadku połączenie podatności path traversal z domyślnym nieuwierzytelnionym dostępem znacząco obniża próg wejścia dla napastnika i umożliwia przejęcie podatnych instancji. Dla zespołów bezpieczeństwa oznacza to konieczność natychmiastowego ograniczenia ekspozycji, monitorowania śladów kompromitacji oraz wdrożenia środków kompensacyjnych do czasu pełnego usunięcia problemu.

Źródła

Unpatched Langflow Flaw CVE-2026-5027 Exploited for Unauthenticated RCE — https://thehackernews.com/2026/06/unpatched-langflow-flaw-cve-2026-5027.html
CVE-2026-5027 — National Vulnerability Database — https://nvd.nist.gov/vuln/detail/CVE-2026-5027
Tenable advisory on Langflow vulnerability — https://www.tenable.com/
VulnCheck research update — https://www.vulncheck.com/

Luka WinRAR CVE-2025-8088 nadal wykorzystywana w atakach na Ukrainę mimo dostępnej poprawki

Wprowadzenie do problemu / definicja

Podatność CVE-2025-8088 w WinRAR to błąd typu path traversal, który umożliwia specjalnie spreparowanemu archiwum zapisanie plików poza katalogiem wybranym przez użytkownika podczas rozpakowywania. W praktyce otwiera to drogę do uzyskania trwałości w systemie, uruchamiania złośliwych komponentów po zalogowaniu oraz wdrażania malware służącego do kradzieży danych.

Choć poprawka dla tego błędu została udostępniona już w lipcu 2025 roku, najnowsze analizy pokazują, że luka nadal jest skutecznie wykorzystywana w realnych operacjach cyberszpiegowskich wymierzonych w organizacje na Ukrainie. To kolejny przykład, że opóźnienia w aktualizacjach popularnych narzędzi użytkowych mogą mieć bardzo poważne konsekwencje operacyjne.

W skrócie

Badacze bezpieczeństwa opisali dwa odrębne łańcuchy ataku wykorzystujące CVE-2025-8088 do infekowania systemów Windows. W obu przypadkach punktem wejścia były złośliwe archiwa RAR, które po rozpakowaniu zapisywały pliki poza oczekiwanym folderem i uruchamiały kolejne etapy infekcji.

W kampanii przypisywanej klastrowi SHADOW-EARTH-066 końcowym ładunkiem był stealer GIFTEDCROOK.
W działaniach wiązanych z Earth Dahu wdrażano zestaw narzędzi szpiegowskich obejmujący GammaPhish, GammaLoad i GammaSteel.
Ataki pokazują, że nawet publicznie załatane luki pozostają użyteczne dla APT, jeśli organizacje nie kontrolują wersji oprogramowania na stacjach roboczych.

Kontekst / historia

WinRAR od lat pozostaje jednym z najczęściej używanych narzędzi do obsługi archiwów w środowiskach Windows. Jego popularność sprawia, że jest atrakcyjnym celem dla atakujących, ponieważ znajduje się w codziennym obiegu dokumentów, załączników i paczek plików przesyłanych między pracownikami, partnerami i urzędami.

Luka CVE-2025-8088 została załatana w wydaniu 7.13 Final opublikowanym 30 lipca 2025 roku. Producent wskazał, że problem pozwala obejść docelową ścieżkę ekstrakcji i zapisać dane w niezamierzonych lokalizacjach systemu plików. Mimo tego podatność pozostała aktywna w działaniach ofensywnych jeszcze przez wiele miesięcy po publikacji poprawki.

Z ustaleń badaczy wynika, że Earth Dahu wykorzystywało ten wektor co najmniej od września 2025 roku, a aktywność utrzymywała się przynajmniej do kwietnia 2026 roku. Równolegle SHADOW-EARTH-066 porzuciło wcześniejsze schematy oparte na makrach Excela i przeszło do dystrybucji malware przez złośliwe archiwa RAR, co dobrze pokazuje zmianę taktyki wraz z ewolucją mechanizmów obronnych.

Analiza techniczna

Techniczny rdzeń problemu polega na możliwości zapisania plików poza katalogiem wskazanym podczas rozpakowywania archiwum. W analizowanych kampaniach wykorzystywano do tego mechanizm NTFS Alternate Data Streams, który pozwala osadzać dodatkowe strumienie danych powiązane z plikami. Dzięki temu archiwum może zapisać elementy w lokalizacjach istotnych z perspektywy trwałości lub uruchomienia kolejnych etapów infekcji.

W łańcuchu przypisywanym SHADOW-EARTH-066 archiwum zawierało dokument-wabik PDF oraz ukryte ładunki osadzane przez ADS. Jednym z efektów było zapisanie skrótu LNK do folderu Startup, co zapewniało automatyczne wykonanie po zalogowaniu użytkownika. Następnie uruchamiane były polecenia przez cmd.exe, a potem loader PowerShell. Kolejny etap obejmował ładowanie biblioteki DLL bezpośrednio w pamięci, co finalnie prowadziło do uruchomienia nowszego wariantu GIFTEDCROOK.

Malware GIFTEDCROOK służyło do kradzieży haseł i cookies z przeglądarek opartych na Chromium, takich jak Chrome, Edge i Opera, a także z Mozilla Firefox. Dodatkowo zbierało dokumenty o wskazanych rozszerzeniach z systemu ofiary. Po eksfiltracji danych operatorzy usuwali część artefaktów infekcji, utrudniając analizę powłamaniową i skracając ślady dochodzeniowe.

W przypadku Earth Dahu eksploatacja CVE-2025-8088 była elementem łańcucha HTA-to-VBScript. Prowadziło to do wdrożenia komponentów związanych z rodziną Gamma, w tym GammaPhish, GammaLoad i GammaSteel. Badacze zwrócili uwagę na wykorzystanie mechanizmu Dead Drop Resolver, który zwiększa elastyczność pobierania kolejnych ładunków i utrudnia prostą blokadę infrastruktury. GammaSteel pełnił rolę rozbudowanego stealera oraz modułu nadzorczego zdolnego do monitorowania zmian w plikach niemal w czasie rzeczywistym.

Konsekwencje / ryzyko

Z punktu widzenia bezpieczeństwa przedsiębiorstw i instytucji publicznych CVE-2025-8088 to nie tylko kolejny błąd w popularnym archiwizerze. Atak wykorzystuje dobrze znany i zaufany proces otwierania oraz rozpakowywania plików, co obniża czujność użytkowników i może utrudniać wykrycie przez narzędzia koncentrujące się na bardziej klasycznych metodach dostarczenia malware.

Ryzyko operacyjne obejmuje kilka obszarów. Po pierwsze, atakujący mogą uzyskać trwałość dzięki zapisaniu komponentów do lokalizacji takich jak folder Startup. Po drugie, kradzież danych uwierzytelniających, sesyjnych cookies i dokumentów może prowadzić do przejęcia kont, ruchu bocznego w sieci oraz dalszych działań szpiegowskich. Po trzecie, usuwanie artefaktów po eksfiltracji utrudnia dochodzenia cyfrowe i wydłuża czas wykrycia incydentu.

W środowiskach objętych napięciami geopolitycznymi taki wektor może służyć zarówno klasycznemu cyberwywiadowi, jak i przygotowaniu kolejnych etapów operacji ofensywnych. Szczególnie niebezpieczne jest to, że wykorzystywana aplikacja nie należy do niszowych narzędzi, lecz do powszechnie instalowanego oprogramowania pomocniczego.

Rekomendacje

Najważniejszym krokiem pozostaje pełna aktualizacja WinRAR oraz wszystkich komponentów powiązanych z obsługą archiwów RAR i UnRAR w środowiskach Windows. Organizacje powinny potwierdzić stan wdrożenia poprawek na stacjach roboczych, serwerach administracyjnych i hostach uprzywilejowanych, zamiast zakładać, że aktualizacja została przeprowadzona wszędzie automatycznie.

monitorować procesy rozpakowywania archiwów oraz następujące po nich uruchomienia LNK, HTA, VBScript, PowerShell i cmd.exe,
wykrywać zapisy do folderów autostartu i innych lokalizacji trwałości bezpośrednio po ekstrakcji archiwum,
ograniczać lub blokować wykonywanie HTA, VBScript i niepodpisanych skryptów PowerShell tam, gdzie nie są wymagane biznesowo,
monitorować nietypowe użycie Alternate Data Streams w systemach Windows,
wzmocnić reguły EDR pod kątem sekwencji: archiwum RAR, zapis poza folderem, LNK lub Startup, skrypt lub loader, DLL ładowana w pamięci,
inspekcjonować ruch wychodzący pod kątem komunikacji z nową lub krótkotrwałą infrastrukturą C2.

Od strony organizacyjnej warto również ograniczyć lokalne uprawnienia użytkowników, wymusić separację środowisk administracyjnych, wdrożyć ochronę przeglądarek przed kradzieżą cookies oraz przeprowadzać rotację haseł i tokenów sesyjnych po wykryciu incydentu. W podmiotach wysokiego ryzyka zasadne jest też sandboxowanie archiwów i załączników pochodzących z zewnątrz oraz przygotowanie playbooków SOC dla infekcji inicjowanych przez narzędzia archiwizujące.

Podsumowanie

Przypadek CVE-2025-8088 potwierdza, że nawet po opublikowaniu poprawki popularne narzędzia użytkowe mogą przez długi czas pozostawać skutecznym wektorem ataku. Kampanie wymierzone w ukraińskie organizacje pokazują, że grupy powiązane z Rosją potrafią łączyć exploit w WinRAR z mechanizmami trwałości, skryptowymi loaderami i stealerami ukierunkowanymi na przeglądarki oraz dokumenty.

Dla zespołów bezpieczeństwa to wyraźny sygnał, że zarządzanie podatnościami nie może ograniczać się wyłącznie do systemu operacyjnego i kluczowych aplikacji biznesowych. Równie ważne są narzędzia pomocnicze instalowane na stacjach końcowych, ponieważ to właśnie one coraz częściej stają się praktycznym punktem wejścia dla zaawansowanych kampanii cyberszpiegowskich.

Źródła

The Hacker News — WinRAR Flaw Exploited by Russia-Aligned Groups to Deploy Stealers in Ukraine — https://thehackernews.com/2026/06/winrar-flaw-exploited-by-russia-aligned.html
WinRAR 7.13 Final released — https://www.win-rar.com/singlenewsview.html?L=0&cHash=a64b4a8f662d3639dec8d65f47bc93c5&tx_ttnews%5Btt_news%5D=283
Trend Micro Annual APT Report 2025 — Nation-Aligned — https://documents.trendmicro.com/assets/pdf/Annual-APT-Report-2025.pdf

Chińska grupa APT rozwija malware do długotrwałego utrzymania dostępu w przejętych sieciach

Wprowadzenie do problemu / definicja

Badacze bezpieczeństwa opisali nową kampanię cyberwywiadowczą prowadzoną przez chińskojęzycznego aktora zagrożeń UNC5221, znanego również jako VerdantBamboo. Operacja pokazuje, że współczesne grupy APT coraz częściej stawiają nie na pojedyncze włamanie, lecz na długotrwałe utrzymanie obecności w środowisku ofiary, wykorzystując do tego wyspecjalizowane backdoory, przejęte poświadczenia oraz urządzenia i systemy pozostające poza standardowym monitoringiem.

W analizowanym przypadku celem były zarówno systemy lokalne, jak i infrastruktura brzegowa, serwery Linux, urządzenia NAS, zapory sieciowe oraz usługi chmurowe. To podejście znacząco utrudnia wykrycie i zwiększa odporność ataku na działania naprawcze.

W skrócie

UNC5221 miała utrzymywać dostęp do środowiska ofiary przez co najmniej 18 miesięcy.
W kampanii wykorzystano implant Brickstorm oraz nowe narzędzia Plenet i AgentPSD.
Atak objął systemy on-premise, urządzenia brzegowe, pfSense, NAS Synology i środowisko Microsoft 365.
Kluczowym elementem incydentu było również naruszenie dostawcy usług zarządzanych, co mogło umożliwić odtworzenie dostępu po remediacji.

Kontekst / historia

UNC5221 jest wiązany z wcześniejszymi operacjami wymierzonymi w urządzenia brzegowe i infrastrukturę o wysokiej wartości operacyjnej. W poprzednich raportach grupę łączono z wykorzystywaniem podatności typu zero-day oraz z wdrażaniem backdoora Brickstorm przeciwko systemom wirtualizacyjnym i serwerom zarządzania.

Najświeższe ustalenia wskazują, że początkowy dostęp do organizacji został uzyskany znacznie wcześniej niż moment wykrycia incydentu. Po częściowym usunięciu śladów atakujący mieli wrócić do środowiska i odbudować kanały dostępu, co sugeruje dobrze przygotowaną, wielowarstwową strategię persistence. Szczególnie niepokojący jest wątek kompromitacji partnera MSP, ponieważ pokazuje, jak istotnym wektorem ataku staje się dziś łańcuch zaufania.

Analiza techniczna

Według ustaleń badaczy operacja rozpoczęła się od kompromitacji systemu Egnyte Storage Sync, a następnie została rozszerzona na wewnętrzną sieć organizacji. Napastnicy wykorzystywali funkcje proxy w Brickstorm oraz przejęte poświadczenia, aby uzyskać dostęp do Microsoft 365 w sposób utrudniający egzekwowanie polityk warunkowego dostępu.

Brickstorm pozostał centralnym elementem kampanii. To zaawansowany implant zaprojektowany do ukrytej komunikacji z infrastrukturą dowodzenia i kontroli oraz do utrzymywania trwałej obecności. Wcześniejsze warianty były rozwijane w Go, natomiast nowsze próbki pojawiły się również w Rust, co może wskazywać na dalszą adaptację narzędzia do różnych platform i scenariuszy operacyjnych.

Po ponownym uzyskaniu dostępu operatorzy wdrożyli dwa dodatkowe komponenty. Plenet, określany także jako Grimbolt, to wieloplatformowy backdoor oparty na .NET, oferujący interaktywną powłokę, zdalne wykonywanie poleceń, operacje na plikach oraz możliwość zmiany serwera C2. Ważną cechą tego narzędzia jest wykorzystanie WebSocketów i multipleksowania strumieni, co zwiększa elastyczność komunikacji i ułatwia prowadzenie wielu aktywności w jednej sesji.

Drugim narzędziem był AgentPSD, prostszy reverse shell napisany w Pythonie. Jego rola była jednak istotna operacyjnie, ponieważ pełnił funkcję zapasowego kanału dostępu. Taki model działania pokazuje, że operatorzy przewidywali możliwość wykrycia głównego implantu i przygotowali alternatywną ścieżkę utrzymania obecności w sieci.

Na szczególną uwagę zasługuje dobór systemów, na których rozmieszczono malware. Obejmował on urządzenia synchronizacji plików, zapory, serwery archiwalne i pamięci NAS, czyli elementy infrastruktury często pomijane przez klasyczne narzędzia EDR. To właśnie ten aspekt mógł umożliwić wielomiesięczne pozostawanie napastników poza radarem zespołów SOC.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem takich operacji jest długotrwała i trudna do usunięcia obecność w środowisku ofiary. Jeśli atakujący utrzymują dostęp przez kilkanaście miesięcy, mogą stopniowo zbierać poświadczenia, mapować sieć, identyfikować kluczowe systemy oraz odbudowywać kompromitację po każdej niepełnej remediacji.

Ryzyko rośnie jeszcze bardziej, gdy incydent obejmuje dostawcę MSP. Naruszenie partnera technicznego może zapewnić napastnikom legalnie wyglądające kanały administracyjne i potencjalnie otworzyć drogę do wielu klientów jednocześnie. W praktyce oznacza to, że organizacja nie może ograniczyć działań naprawczych wyłącznie do własnej infrastruktury.

Dostęp do Microsoft 365 zwiększa zagrożenie kradzieżą korespondencji, dokumentów, danych uwierzytelniających i informacji biznesowych. Z kolei obecność malware na urządzeniach brzegowych oraz wyspecjalizowanych systemach infrastrukturalnych utrudnia szybkie wykrycie i oszacowanie skali incydentu.

Rekomendacje

Organizacje powinny rozszerzyć monitoring bezpieczeństwa poza standardowe stacje robocze i serwery. Ochroną należy objąć zapory, urządzenia synchronizacji plików, NAS, hypervisory, serwery archiwalne oraz inne systemy infrastrukturalne, które często pozostają poza pełnym zakresem telemetrii.

W praktyce warto wdrożyć:

centralizację logów z urządzeń brzegowych i systemów specjalizowanych,
analizę ruchu wychodzącego pod kątem tunelowania, WebSocketów i niestandardowej komunikacji C2,
pełny przegląd logowań i wyjątków w Microsoft 365, zwłaszcza w obszarze Conditional Access,
segmentację dostępu dla kont uprzywilejowanych oraz systemów administracyjnych,
rotację poświadczeń po incydencie, także w relacjach z dostawcami MSP,
polowanie na zagrożenia w systemach bez EDR,
przegląd konfiguracji SSL VPN, zapór i kont serwisowych używanych do integracji.

W relacjach z partnerami zewnętrznymi warto stosować zasadę ograniczonego zaufania. Oznacza to nie tylko ścisłe rejestrowanie działań administracyjnych, lecz także niezależną weryfikację bezpieczeństwa środowisk partnerów, jeśli istnieje podejrzenie naruszenia łańcucha dostaw.

Podsumowanie

Opisana kampania pokazuje wyraźną ewolucję działań chińskich grup APT w kierunku wielowarstwowej persistence, odporności na remediację oraz wykorzystywania systemów, które często nie są objęte pełnym monitoringiem bezpieczeństwa. Połączenie Brickstorm, Plenet i AgentPSD z kompromitacją MSP oraz dostępem do Microsoft 365 tworzy model ataku nastawiony na długoterminowy cyberwywiad.

Dla zespołów bezpieczeństwa kluczowy wniosek jest jednoznaczny: nowoczesna obrona nie może kończyć się na endpointach użytkowników i serwerach Windows. To właśnie urządzenia brzegowe, zapory, systemy pośredniczące i usługi administracyjne stają się dziś jednym z najważniejszych obszarów walki o wykrywalność, odporność i kontrolę nad środowiskiem.

Źródła

Asin: nowy spyware na Androida atakuje użytkowników arabskojęzycznych przez fałszywe aplikacje informacyjne

Wprowadzenie do problemu / definicja

Asin to nowo opisane oprogramowanie szpiegujące dla systemu Android, dystrybuowane pod przykrywką pozornie użytecznych aplikacji, takich jak czytnik PDF, serwis z aktualnościami czy narzędzie do śledzenia działań wojennych. Kampania była ukierunkowana na użytkowników arabskojęzycznych i wpisuje się w rosnący trend mobilnych operacji szpiegowskich wykorzystujących socjotechnikę, fałszywe strony internetowe oraz ręczną instalację pakietów APK poza oficjalnym sklepem.

W skrócie

Asin to spyware na Androida wykryty w kampaniach obserwowanych od początku 2025 roku. Złośliwe aplikacje podszywały się pod legalne narzędzia i serwisy związane z dokumentami, wiadomościami oraz mapami konfliktów. Dystrybucja odbywała się za pośrednictwem spreparowanych witryn oraz promocji w mediach społecznościowych i komunikatorach. Aby infekcja była skuteczna, ofiara musiała samodzielnie zainstalować aplikację i nadać jej wymagane uprawnienia.

Atak był wymierzony głównie w użytkowników arabskojęzycznych.
Wabiki obejmowały aplikacje informacyjne, PDF oraz mapy działań wojennych.
Kluczową rolę odgrywał sideloading i nadawanie uprawnień przez samą ofiarę.
Potencjalnymi celami byli dziennikarze, analitycy OSINT oraz osoby śledzące sytuację geopolityczną.

Kontekst / historia

Z dostępnych ustaleń wynika, że aktywność związana z Asin została po raz pierwszy zauważona na początku 2025 roku. Kampanie korzystały z wielu odrębnych przynęt i domen, które naśladowały różne typy usług. Jedna z witryn udawała rządowe źródło informacji, inna bezpieczny edytor lub czytnik PDF, a kolejna platformę prezentującą incydenty militarne i mapy działań wojennych.

Istotnym elementem tej operacji było dostosowanie przynęt do aktualnych zainteresowań odbiorców. Tematyka konfliktów zbrojnych, bezpieczeństwa regionalnego i źródeł publicznie dostępnych danych dobrze wpisuje się w profil użytkowników poszukujących szybkich informacji, szczególnie w środowiskach medialnych i analitycznych. Dodatkowo część kampanii była wspierana przez konta w serwisach społecznościowych oraz kanały w komunikatorach, co zwiększało wiarygodność fałszywych usług.

Badacze wskazali również na kolejne artefakty łączone z rodziną Asin, w tym próbki przesyłane do publicznych platform analitycznych oraz warianty podszywające się pod aplikacje związane z Syrią i mapami obrony. Pokazuje to, że kampania nie była jednorazowym incydentem, lecz rozwijanym zestawem działań z różnymi wersjami wabików.

Analiza techniczna

Technicznie Asin jest przykładem mobilnego spyware’u łączącego pozornie legalną funkcjonalność z ukrytymi możliwościami szpiegowskimi. To podejście ma kluczowe znaczenie operacyjne: aplikacja nie wygląda na oczywiście złośliwą, ponieważ dostarcza użytkownikowi pewną funkcję oczekiwaną po narzędziu, na przykład wyświetlanie treści, odczyt dokumentów albo prezentację mapy. Dzięki temu ofiara ma mniejszą motywację do kwestionowania żądanych uprawnień.

Łańcuch infekcji opiera się na sideloadingu, czyli ręcznej instalacji aplikacji z pliku APK pobranego poza oficjalnym kanałem dystrybucji. Pozwala to ominąć część mechanizmów kontroli dostępnych w sklepach z aplikacjami, ale wymaga od atakujących skutecznej socjotechniki. Użytkownik musi nie tylko pobrać pakiet, lecz także aktywnie zezwolić na instalację z nieznanego źródła i zaakceptować zestaw uprawnień niezbędnych do działania modułów szpiegujących.

W praktyce takie kampanie często wykorzystują kombinację następujących technik:

podszywanie się pod wiarygodne marki, instytucje lub serwisy informacyjne,
budowę stron internetowych imitujących legalne produkty,
promocję aplikacji przez media społecznościowe i kanały komunikacyjne,
stosowanie narracji związanej z bieżącymi wydarzeniami, aby podnieść wskaźnik instalacji,
ukrywanie złośliwej aktywności za prostą, działającą funkcją użytkową.

Choć publicznie dostępne opisy tej kampanii koncentrują się przede wszystkim na sposobie dystrybucji i profilowaniu ofiar, sama klasa zagrożenia sugeruje typowy zestaw celów operacyjnych dla spyware’u mobilnego: pozyskiwanie danych z urządzenia, monitorowanie aktywności użytkownika, utrzymywanie dostępu oraz zbieranie informacji przydatnych wywiadowczo. Kluczowy jest tu nie sam exploit, lecz skuteczne nakłonienie ofiary do dobrowolnego uruchomienia i uprzywilejowania aplikacji.

Warto również zwrócić uwagę na warstwę operacyjną. Wybór przynęt związanych z konfliktami, wiadomościami i analizą otwartych źródeł wskazuje, że operatorzy rozumieli środowisko docelowe. To kampania bardziej precyzyjna niż masowa, nastawiona na osoby, które z dużym prawdopodobieństwem zaakceptują ryzyko instalacji niszowego narzędzia, jeśli uznają je za przydatne w pracy lub monitoringu sytuacji bezpieczeństwa.

Konsekwencje / ryzyko

Ryzyko związane z Asin należy rozpatrywać na kilku poziomach. Po pierwsze, zagrożone są dane przechowywane bezpośrednio na urządzeniu mobilnym, które dla wielu użytkowników stanowi dziś podstawowe narzędzie pracy. Po drugie, kompromitacja telefonu może prowadzić do ekspozycji komunikacji, metadanych kontaktów, dokumentów roboczych oraz informacji lokalizacyjnych. Po trzecie, w przypadku dziennikarzy, badaczy OSINT lub osób pracujących z tematami wrażliwymi skutki mogą wykraczać poza sferę cyfrową i obejmować bezpieczeństwo osobiste oraz ochronę źródeł.

Z perspektywy organizacyjnej problem jest szczególnie istotny tam, gdzie obowiązuje model BYOD albo gdzie pracownicy korzystają z prywatnych smartfonów do obsługi poczty, komunikatorów i materiałów służbowych. Jedno zainfekowane urządzenie może stać się punktem wycieku informacji, nawet jeśli nie jest formalnie zarządzane przez dział IT.

Dodatkowe ryzyko wynika z faktu, że kampania nie polega na zaawansowanym łańcuchu exploitów zero-click, lecz na manipulacji użytkownikiem. Oznacza to, że tradycyjne myślenie w kategoriach „nie klikam w podejrzane linki” może być niewystarczające, gdy aplikacja wygląda profesjonalnie, odpowiada na realną potrzebę i jest promowana w kanałach uznawanych przez ofiarę za wiarygodne.

Rekomendacje

Organizacje i użytkownicy indywidualni powinni traktować tę kampanię jako przypomnienie, że mobilne spyware coraz częściej wykorzystuje wiarygodne scenariusze operacyjne zamiast wyłącznie prostych oszustw. W praktyce warto wdrożyć kilka podstawowych środków obronnych:

ograniczyć instalację aplikacji wyłącznie do oficjalnych sklepów i zarządzanych repozytoriów,
blokować sideloading na urządzeniach firmowych przez polityki MDM lub UEM,
monitorować żądane uprawnienia i weryfikować, czy są zgodne z deklarowaną funkcją aplikacji,
szkolić użytkowników pod kątem fałszywych serwisów informacyjnych, pseudo-narzędzi PDF i aplikacji reagujących na bieżące wydarzenia geopolityczne,
stosować ochronę mobilną zdolną do wykrywania złośliwych APK oraz analizowania zachowania aplikacji,
segmentować dostęp do danych służbowych na urządzeniach mobilnych i minimalizować lokalne przechowywanie wrażliwych materiałów,
wprowadzić procedury szybkiej reakcji na incydenty mobilne, obejmujące izolację urządzenia, analizę artefaktów i reset poświadczeń.

Dla zespołów SOC i threat intelligence istotne jest także śledzenie kampanii wykorzystujących regionalne narracje, zwłaszcza gdy dotyczą one konfliktów, spraw rządowych lub narzędzi analitycznych. Tego rodzaju przynęty mają wysoką skuteczność wobec ściśle określonych grup zawodowych.

Podsumowanie

Asin pokazuje, że współczesne kampanie spyware na Androida coraz częściej opierają się na dobrze dopasowanej socjotechnice, a nie wyłącznie na technicznej złożoności złośliwego kodu. Fałszywe aplikacje informacyjne, narzędzia PDF i mapy konfliktów zostały wykorzystane do dotarcia do użytkowników arabskojęzycznych, prawdopodobnie w tym do dziennikarzy i analityków OSINT. Kluczowym elementem obrony pozostaje ograniczenie instalacji z nieznanych źródeł, kontrola uprawnień oraz rozwijanie świadomości zagrożeń mobilnych wśród użytkowników wysokiego ryzyka.

Źródła

Android Spyware Asin Targets Arabic Users via Fake News, PDF and War Map Apps — https://thehackernews.com/2026/06/android-spyware-asin-targets-arabic.html
ESET APT Activity Report Q4 2025–Q1 2026 — https://www.welivesecurity.com/en/eset-research/eset-apt-activity-report-q4-2025-q1-2026/

OP-512 atakuje serwery Microsoft IIS z użyciem niestandardowych web shelli

Wprowadzenie do problemu / definicja

Nowo opisany klaster zagrożeń oznaczony jako OP-512 został powiązany z kampanią wymierzoną w serwery Microsoft Internet Information Services (IIS). Napastnicy wykorzystują niestandardowy framework web shelli, którego zadaniem jest zapewnienie trwałego, trudnego do wykrycia dostępu do przejętego hosta oraz wsparcie dalszych działań po kompromitacji.

W praktyce oznacza to odejście od prostych, łatwo rozpoznawalnych implantów na rzecz zestawu narzędzi zaprojektowanych pod kątem unikania klasycznej detekcji, zaciemniania śladów oraz utrudniania analizy incydentu. Tego typu aktywność jest szczególnie niebezpieczna dla organizacji utrzymujących publicznie dostępne usługi webowe oparte o starsze środowiska Windows i .NET.

W skrócie

OP-512 to wcześniej nieudokumentowany klaster aktywności ukierunkowany na serwery Microsoft IIS.
Atakujący wdrażają zestaw trzech web shelli odpowiedzialnych za zarządzanie plikami, wykonywanie poleceń i raportowanie lokalizacji implantu.
Kampania była obserwowana w środowisku opartym o Windows Server 2016 oraz niewspierany .NET Framework 4.0.
Napastnicy stosują unikalne mechanizmy kryptograficzne dla każdej instancji oraz timestomping w celu ukrycia artefaktów.
W dalszym etapie wykorzystywane są narzędzia z rodziny Potato do prób eskalacji uprawnień do poziomu SYSTEM.

Kontekst / historia

Serwery IIS od lat pozostają atrakcyjnym celem dla operatorów kampanii szpiegowskich i grup APT, ponieważ często pełnią rolę systemów brzegowych. Są one wystawione do internetu, a jednocześnie komunikują się z zasobami wewnętrznymi, co czyni je dogodnym punktem wejścia i platformą do dalszej penetracji środowiska.

W przypadku OP-512 badacze wskazali, że aktywność mogła rozpocząć się znacznie wcześniej niż główna faza incydentu. Oznaki wcześniejszej obecności na tym samym hoście, widoczne nawet około 75 dni przed ujawnieniem pełnej aktywności, sugerują metodyczne i cierpliwe działanie charakterystyczne dla operacji nastawionych na długotrwały dostęp oraz zbieranie informacji.

Znaczenie tej kampanii rośnie także dlatego, że jest to kolejny publicznie opisany przypadek skoncentrowany na IIS w krótkim czasie. Wskazuje to, że infrastruktura oparta o technologie Microsoft nadal pozostaje wysoko na liście priorytetów zaawansowanych przeciwników.

Analiza techniczna

Rdzeniem operacji był niestandardowy framework składający się z trzech web shelli. Pierwszy komponent, zapisany jako plik ASPX, pełnił rolę menedżera plików oraz mechanizmu samorejestracji. Po uruchomieniu implant automatycznie przekazywał informację o swojej lokalizacji do infrastruktury operatora, wykorzystując przede wszystkim DNS z zakodowaną ścieżką w subdomenie, a w wariancie zapasowym komunikację HTTP do oddzielnego serwera C2.

Dwa kolejne komponenty miały formę handlerów ASHX i służyły do wykonywania poleceń po uwierzytelnieniu. Ich logika obejmowała wieloetapowe przetwarzanie danych wejściowych: dekodowanie Base64, odszyfrowanie RC4, weryfikację podpisu RSA i dopiero potem uruchomienie komendy. Takie podejście utrudnia analizę ruchu oraz ogranicza skuteczność prostych reguł detekcyjnych.

Istotnym wyróżnikiem OP-512 była unikalność każdej instancji web shella. Operatorzy losowali nazwy metod i zmiennych, a także dodawali zbędne fragmenty kodu, aby utrudnić tworzenie stabilnych sygnatur opartych na hashach lub prostych wzorcach tekstowych. W praktyce oznacza to, że nawet wykrycie jednego wariantu nie gwarantuje skutecznego zablokowania kolejnych.

Kolejną techniką maskowania był timestomping. Web shelle analizowały pliki i katalogi znajdujące się w otoczeniu, wyznaczały medianę czasu modyfikacji, a następnie nadpisywały własne znaczniki czasu tak, aby wyglądały na elementy obecne w systemie od dawna. To znacząco utrudnia pracę zespołów forensic, które często polegają na osi czasu zmian w katalogach aplikacyjnych.

Po wdrożeniu implantów napastnicy przechodzili do fazy post-exploitation. Telemetria wskazuje na ładowanie narzędzi bezpośrednio do pamięci procesu w3wp.exe, co pozwalało ograniczyć liczbę śladów na dysku. Wśród obserwowanych narzędzi znalazły się BadPotato, SweetPotato oraz EfsPotato, używane do prób eskalacji uprawnień. Następnie wykonywano polecenia diagnostyczne służące do ustalenia kontekstu użytkownika i zakresu posiadanych przywilejów.

Istotnym problemem operacyjnym okazały się także biblioteki DLL generowane przez ASP.NET w katalogach tymczasowej kompilacji. Nawet jeśli oryginalne pliki ASPX lub ASHX zostały usunięte, skompilowane artefakty mogły nadal pozostać na serwerze. To oznacza, że powierzchowne czyszczenie środowiska po incydencie może nie wystarczyć do pełnego usunięcia skutków kompromitacji.

Konsekwencje / ryzyko

Największe ryzyko związane z OP-512 wynika z połączenia trwałości, elastyczności oraz niskiej podatności na klasyczną detekcję sygnaturową. Organizacje korzystające z publicznie dostępnych serwerów IIS, zwłaszcza opartych o starsze platformy, powinny traktować takie zagrożenie jako wysoki priorytet operacyjny.

Skutki kompromitacji mogą obejmować długotrwałą obecność atakującego w środowisku, rekonesans sieci wewnętrznej, kradzież danych, podsłuch komunikacji administracyjnej, a także wykorzystanie serwera webowego jako punktu pivotingu do kolejnych etapów ataku. Dodatkowo szyfrowanie i uwierzytelnianie komend utrudnia analizę ruchu sieciowego, a manipulacja metadanymi plików komplikuje rekonstrukcję przebiegu incydentu.

Z perspektywy obrony szczególnie niebezpieczne jest to, że samo zatrzymanie złośliwego procesu lub usunięcie pojedynczego pliku nie musi oznaczać końca zagrożenia. Automatyczne odtwarzanie procesów IIS oraz obecność skompilowanych artefaktów ASP.NET mogą umożliwić dalszą aktywność lub utrudnić pełne oczyszczenie hosta.

Rekomendacje

W pierwszej kolejności organizacje powinny zinwentaryzować wszystkie serwery IIS dostępne z internetu i sprawdzić, czy nie korzystają one z niewspieranych wersji .NET Framework lub przestarzałych komponentów aplikacyjnych. Jeżeli natychmiastowa migracja nie jest możliwa, należy ograniczyć ekspozycję usług, wzmocnić segmentację sieciową i wdrożyć podwyższony monitoring tych zasobów.

Od strony detekcji kluczowe jest skupienie się na zachowaniach zamiast wyłącznie na sygnaturach plików. Warto monitorować zarówno aktywność procesów IIS, jak i anomalie w ruchu sieciowym oraz systemie plików.

Nietypowe zapytania DNS inicjowane przez proces w3wp.exe, zwłaszcza z długimi i zakodowanymi subdomenami.
Ładowanie komponentów .NET do pamięci procesu IIS metodami refleksyjnymi.
Pojawianie się nowych plików ASPX lub ASHX poza standardowym cyklem wdrożeniowym.
Generowanie bibliotek DLL w katalogach tymczasowej kompilacji ASP.NET.
Nietypowe odpowiedzi z endpointów ASHX, w tym zaszyfrowane lub niestandardowe treści.
Próby eskalacji uprawnień z użyciem narzędzi z rodziny Potato.

W procesie reagowania na incydent należy odizolować host przed rozpoczęciem analizy interaktywnej. Zespół bezpieczeństwa powinien założyć, że wejście w interakcję z web shellem może uruchomić mechanizmy powiadamiania operatora. Niezbędne jest również sprawdzenie pamięci procesu IIS, przegląd logów DNS i HTTP, analiza ścieżek aplikacyjnych oraz dokładne oczyszczenie katalogów tymczasowej kompilacji ASP.NET.

Długoterminowo warto wdrożyć EDR zapewniający widoczność aktywności .NET, monitoring integralności plików dla katalogów aplikacyjnych oraz polityki wykrywania anomalii dla serwerów w strefie DMZ. Ochrona serwerów webowych nie powinna opierać się wyłącznie na blokowaniu znanych hashy i prostych IOC.

Podsumowanie

OP-512 pokazuje, że serwery Microsoft IIS pozostają atrakcyjnym celem dla zaawansowanych operacji nastawionych na długoterminowy dostęp i działania szpiegowskie. Kampania wyróżnia się zastosowaniem niestandardowego frameworka web shelli, unikalnością kryptograficzną każdej instancji, automatycznym raportowaniem kompromitacji oraz technikami utrudniającymi analizę forensic.

Dla obrońców najważniejsza lekcja jest jednoznaczna: sama detekcja sygnaturowa to za mało. Priorytetem powinny być aktualizacja przestarzałych komponentów, pełna widoczność aktywności procesów IIS, analiza behawioralna oraz dokładne procedury reagowania obejmujące także artefakty kompilacji ASP.NET.

Źródła

New Threat Cluster OP-512 Targets Microsoft IIS Servers with Custom Web Shell Framework — https://thehackernews.com/2026/06/new-threat-cluster-op-512-targets.html
ReliaQuest’s Agentic AI Uncovers New China-Linked Cluster OP-512 — https://reliaquest.com/blog/threat-spotlight-reliaquests-agentic-ai-uncovers-new-china-linked-cluster-op-512
MITRE ATT&CK: Timestomp — https://attack.mitre.org/techniques/T1070/006/

Chińska grupa APT wdraża nowe malware do utrzymywania dostępu w przejętych sieciach

Wprowadzenie do problemu / definicja

Długotrwałe utrzymywanie dostępu do środowiska ofiary pozostaje jednym z głównych celów zaawansowanych grup APT prowadzących działania cyberszpiegowskie. W opisywanej kampanii operatorzy powiązani z chińskim klastrem UNC5221, znanym również jako VerdantBamboo, wykorzystali zestaw niestandardowych narzędzi do zachowania trwałej obecności w infrastrukturze przedsiębiorstwa.

Incydent objął wiele obszarów środowiska ofiary, w tym systemy brzegowe, Microsoft 365, urządzenia NAS oraz infrastrukturę dostawcy usług zarządzanych. To pokazuje, że współczesne operacje APT coraz częściej łączą malware wieloplatformowe, techniki living-off-the-land oraz przejęcie zaufanych punktów pośrednich.

W skrócie

Grupa UNC5221 używała backdoora Brickstorm oraz dwóch dodatkowych rodzin malware: Plenet i AgentPSD.
Atakujący mieli utrzymywać obecność w sieci ofiary przez co najmniej 18 miesięcy przed wykryciem.
Po działaniach naprawczych doszło do ponownego naruszenia, co wskazuje na istnienie alternatywnych ścieżek dostępu.
W toku dochodzenia ustalono również kompromitację dostawcy MSP, co mogło umożliwić pivoting do środowiska klienta.
Szczególnym celem były systemy i urządzenia, na których wdrożenie klasycznych agentów EDR jest utrudnione lub niemożliwe.

Kontekst / historia

UNC5221 jest łączony z aktywnością cyberszpiegowską ukierunkowaną na urządzenia brzegowe i systemy infrastrukturalne co najmniej od 2023 roku. Grupa była wcześniej opisywana w kontekście wykorzystywania podatności zero-day oraz wdrażania Brickstorm w środowiskach przedsiębiorstw.

W analizowanym incydencie jednym z pierwszych punktów wejścia był system Egnyte Storage Sync, do którego operatorzy uzyskali dostęp, a następnie okresowo wracali przez webowy SSL VPN ofiary. Z tego przyczółka atakujący wykorzystywali funkcje proxy w Brickstorm oraz skradzione poświadczenia, aby uzyskać dostęp do środowiska Microsoft 365.

Po pierwszym wykryciu i remediacji grupa zdołała ponownie wtargnąć do środowiska. Tym razem aktywowała i skonfigurowała dostęp SSL VPN na zaporze ofiary, a następnie wdrożyła dodatkowe narzędzia na urządzeniu Synology NAS. Badanie objęło także infrastrukturę MSP, gdzie odnaleziono wariant Brickstorm dla BSD na zaporze pfSense.

Analiza techniczna

Centralnym elementem kampanii był Brickstorm, opisywany jako zaawansowany implant typu backdoor. Wcześniejsze warianty były implementowane w Go, natomiast nowsze pojawiły się w Rust, co może wskazywać na rozwój narzędzia pod kątem przenośności, niezawodności i utrudniania analizy.

Malware był wykorzystywany na różnych platformach i urządzeniach, w tym na serwerach Linux, urządzeniach brzegowych oraz systemach, które nie wspierają typowego monitoringu endpointowego. Taki dobór celów zwiększa szanse na długotrwałe ukrycie aktywności i ogranicza skuteczność standardowych narzędzi detekcyjnych.

Po odzyskaniu dostępu operatorzy wdrożyli Plenet na urządzeniu Synology NAS. To wieloplatformowy backdoor oparty na .NET, zapewniający interaktywną powłokę, zdalne wykonywanie poleceń, manipulację plikami oraz możliwość zmiany serwera C2.

Konstrukcyjnie Plenet ma być zbliżony do Brickstorm, ponieważ korzysta z komunikacji przez WebSocket i mechanizmu multipleksacji strumieni danych. Taka architektura pozwala równolegle obsługiwać wiele kanałów komunikacyjnych z serwerem sterującym, co ułatwia prowadzenie sesji administracyjnych, transfer danych i tunelowanie ruchu.

Drugim nowym komponentem był AgentPSD, prosty reverse shell napisany w Pythonie. Według badaczy pełnił on rolę zapasowego mechanizmu utrzymania dostępu na wypadek utraty łączności z głównym implantem. Konfiguracja AgentPSD wskazywała przy tym na inny adres infrastruktury niż w przypadku Brickstorm, co sugeruje świadome rozdzielenie kanałów podstawowych i awaryjnych.

Istotnym elementem operacji była również kompromitacja infrastruktury pośredniej. Na zaporze pfSense należącej do MSP odnaleziono wariant Brickstorm dla BSD. To ważny sygnał dla zespołów bezpieczeństwa, ponieważ zagrożenie nie ogranicza się do stacji roboczych czy serwerów aplikacyjnych, lecz obejmuje także firewalle, urządzenia synchronizacji plików i systemy archiwalne.

Konsekwencje / ryzyko

Najpoważniejszym ryzykiem w tego typu kampanii jest długotrwała, niewidoczna obecność w środowisku oraz możliwość ponownego wejścia nawet po przeprowadzeniu działań naprawczych. Jeżeli napastnik utrzymuje dostęp zarówno przez konta użytkowników, jak i przez urządzenia perymetryczne, remediacja ograniczona do resetu haseł lub usunięcia pojedynczego implantu może okazać się niewystarczająca.

Szczególnie niebezpieczna jest kompromitacja dostawcy MSP. Taki scenariusz otwiera drogę do ruchu bocznego między organizacjami, nadużycia relacji zaufania oraz obejścia części mechanizmów bezpieczeństwa opartych na reputacji źródła połączenia.

Dla organizacji korzystających z Microsoft 365 ryzyko obejmuje przejęcie skrzynek pocztowych, dostęp do danych współdzielonych, eskalację uprawnień oraz prowadzenie dalszych działań podszywających się pod legalny ruch. W środowiskach z urządzeniami NAS i firewallami zagrożenie obejmuje także trwałe tunele C2, magazynowanie narzędzi, staging danych oraz obejście segmentacji sieciowej.

Rekomendacje

Organizacje powinny rozszerzyć model monitorowania poza klasyczne endpointy i objąć telemetrią również urządzenia brzegowe, zapory, systemy synchronizacji danych, serwery archiwalne oraz urządzenia NAS. W praktyce oznacza to centralizację logów, inspekcję konfiguracji administracyjnych i regularne przeglądy zmian w usługach zdalnego dostępu, szczególnie SSL VPN.

Należy wdrożyć rygorystyczne kontrole tożsamości dla Microsoft 365 i innych usług SaaS. Obejmuje to wymuszanie MFA odpornego na phishing, przegląd kont uprzywilejowanych, audyt tokenów sesyjnych oraz ograniczanie dostępu administracyjnego według zasady najmniejszych uprawnień.

W relacjach z MSP konieczne jest traktowanie łańcucha usług jako rozszerzonej powierzchni ataku. Zalecane są okresowe audyty dostawców, segmentacja połączeń administracyjnych, odseparowane konta serwisowe, ograniczenia tras sieciowych oraz możliwość szybkiego odcięcia kanałów zdalnego zarządzania.

Z perspektywy reagowania na incydenty remediacja powinna obejmować pełne polowanie na alternatywne ścieżki dostępu. Oznacza to weryfikację kont, certyfikatów, konfiguracji VPN, zadań harmonogramu, niestandardowych usług, skryptów administracyjnych oraz nietypowych procesów nasłuchujących na urządzeniach infrastrukturalnych.

Podsumowanie

Opisana kampania pokazuje dojrzały model działania grupy APT, która łączy wieloplatformowe malware, wykorzystanie skradzionych poświadczeń i kompromitację infrastruktury pośredniej w celu utrzymania długotrwałej obecności. Brickstorm pozostaje głównym narzędziem operacyjnym, natomiast Plenet i AgentPSD wzmacniają elastyczność oraz odporność atakujących na działania obronne.

Najważniejszy wniosek dla zespołów bezpieczeństwa jest jednoznaczny: skuteczna obrona wymaga pełnej widoczności także na urządzeniach brzegowych i u dostawców usług, ponieważ to właśnie tam nowoczesne kampanie cyberszpiegowskie coraz częściej budują swoją trwałość.

Źródła

Chinese APT deploys new malware to keep access to hacked networks — https://www.bleepingcomputer.com/news/security/chinese-apt-deploys-new-malware-to-keep-access-to-hacked-networks/
Volexity Research on VerdantBamboo / UNC5221 — https://www.volexity.com/
Google Cloud: Threat Intelligence reporting on UNC5221 and Brickstorm — https://cloud.google.com/blog/topics/threat-intelligence/
CISA advisory on threat activity involving Brickstorm — https://www.cisa.gov/
Microsoft documentation: Conditional Access — https://learn.microsoft.com/