Pomagamy Zrozumieć i Wdrażać Bezpieczeństwo
W codziennej pracy analityka bezpieczeństwa (SOC) umiejętność szybkiego korzystania z wbudowanych poleceń Windows bywa bezcenna. Gdy liczy się czas – na przykład podczas triage incydentu lub szybkiego forensics – dostęp do graficznych narzędzi może być ograniczony, a instalacja dodatkowego oprogramowania niemożliwa.
Czytaj dalej „Windows Commands Dla Analityków Bezpieczeństwa – Pełny Przewodnik Z Przykładami”
W rejestrze Open VSX wykryto fałszywe rozszerzenie dla języka Solidity: juan-bianco.solidity-vlang. Początkowo niewinne wydanie z 31 października 2025 r. zostało dzień później zaktualizowane o złośliwe możliwości — już po zdobyciu dużej liczby pobrań. Rozszerzenie zawierało trojana zdalnego dostępu SleepyDuck, który komunikuje się z serwerem dowodzenia m.in. poprzez kontrakt na blockchainie Ethereum, co utrudnia neutralizację infrastruktury C2. Z pakietu skorzystały dziesiątki tysięcy użytkowników Open VSX, w tym popularnych forków VS Code (Cursor, Windsurf).
.sol lub kompilacja.Ostatnie miesiące przyniosły presję na ekosystemy rozszerzeń edytorów. Wiz Research ujawnił >550 wyciekłych sekretów, w tym dostępy wydawnicze do marketplace’ów, co umożliwia przestępcom wpychanie złośliwych aktualizacji do już popularnych rozszerzeń (autoupdate robi resztę). Open VSX jest szczególnie atrakcyjny dla użytkowników Cursor/Windsurf, bo nie mogą oni korzystać z oficjalnego Microsoft Visual Studio Marketplace.
Open VSX/Eclipse poinformował następnie, że incydenty zostały opanowane do 21 października 2025 r. oraz zapowiedział krótsze TTL tokenów, łatwiejsze unieważnianie, skany przy publikacji i wymianę informacji z innymi platformami.
Warto pamiętać, że Solidity-devowie są celem od dawna: w lipcu 2025 r. opisano przypadek kradzieży ~500 000 USD po instalacji fałszywego rozszerzenia z Open VSX/Cursor.
.sol lub wywołanie komendy kompilacji Solidity. webpack.init() i ładuje payload, który zbiera hostname, username, MAC, strefę czasową oraz uruchamia sandbox wykonywania komend. Dla zespołów bezpieczeństwa / dev platform:
~/.vscode/extensions, %USERPROFILE%\.vscode\extensions) i nietypowe wywołania PowerShell/cmd przez procesy VS Code/Cursor.sleepyduck[.]xyz, adresy kontraktów, nietypowe zapytania RPC). (Wg materiałów badawczych, C2 i kontrakt są częścią TTP tej kampanii). .vsix pod kątem sekretów; rotacja tokenów publikacyjnych; krótkie TTL i prefiksy ułatwiające detekcję. (To też kierunek zmian po stronie Open VSX). Dla pojedynczych deweloperów:
Najnowsza analiza ITIF opisuje „ekosystem” chińskiego szpiegostwa gospodarczego, który łączy operacje cybernetyczne, rekrutację insiderów oraz pozornie legalne transfery technologii i talentów. Autor wskazuje, że programy rekrutacyjne, podmioty „prywatne” współpracujące z aparatem państwowym oraz instrumenty prawne (np. ustawa wywiadowcza) tworzą spójny mechanizm pozyskiwania własności intelektualnej i know-how z USA oraz państw sojuszniczych.
Chińskie dokumenty strategiczne (m.in. „Made in China 2025”) i polityka military-civil fusion wzmacniają presję na przyspieszony transfer technologii w kluczowych domenach (IT, lotnictwo, energia, bio). ITIF przypomina też, że narzędzia prawne (np. ustawa o wywiadzie z 2017 r.) nakładają na firmy obowiązek współpracy z organami bezpieczeństwa, co zaciera granicę między sektorem publicznym a „prywatnym”.
W tym samym czasie USA i partnerzy publikują wspólne ostrzeżenia techniczne przed długotrwałymi, nisko-szumowymi operacjami ChRL w infrastrukturze krytycznej (camp. Volt Typhoon).
Vectory pozyskiwania (wg przekrojowych materiałów ITIF, CISA i FBI):
Cele branżowe: sektory o wysokiej wartości dla konkurencyjności i obronności – lotnictwo, półprzewodniki, energia, biotechnologia, telekomunikacja. To pokrywa się z oceną FBI: „niemal każdy sektor gospodarki USA” doświadcza prób pozyskania IP/know-how.
1) Łowiectwo na techniki Volt Typhoon (LotL)
2) Twarda segmentacja i e2e-telemetria
3) Odporność na insiderów
4) Ćwiczenia „assume breach” i tabletopy łączone (CSIRT + HR + Legal)
5) Due diligence dostawców i inwestycji
6) Program wymiany informacji
Chińskie szpiegostwo gospodarcze to strategiczny, wielotorowy wysiłek państwa – od cyberoperacji LotL po rekrutację insiderów i instrumenty prawne wymuszające współpracę firm. Obrona wymaga prewencji i przewidywania: proaktywnego threat huntingu, segmentacji, kontroli tożsamości oraz dojrzałego programu anty-insider. Organizacje powinny mapować swoje „koronne klejnoty” na taktyki opisywane w doradztwach CISA/FBI i wdrażać procedury reagowania z udziałem HR/Legal.
Rosyjskie Ministerstwo Spraw Wewnętrznych poinformowało o zatrzymaniu trzech „młodych specjalistów IT” w Moskwie i okolicach. Według władz, mieli oni rozwijać i sprzedawać Meduza Stealer – infostealera kradnącego dane logowania, informacje o portfelach krypto oraz inne wrażliwe dane z przeglądarek. Sprawa ma tło krajowe: śledczy łączą grupę z włamaniem do instytucji w obwodzie astrachańskim w maju 2025 r. oraz z dystrybucją płatnego narzędzia w modelu MaaS.
Meduza pojawiła się w połowie 2023 r. i szybko dołączyła do grona popularnych infostealerów obok Lumma czy RedLine. Narzędzie obserwowano w kampaniach przeciw Ukrainie i Polsce, ale także ofiarom w Rosji. Aresztowania wpisują się w szersze – choć wciąż sporadyczne – działania rosyjskich służb przeciw grupom, które „zahaczają” o lokalne cele.
Media branżowe wskazują, że dystrybucja Meduzy była prowadzona w modelu malware-as-a-service (abonament). Władze mówią też o drugim komponencie (narzędziu do wyłączania ochrony AV i budowy botnetów), co sugeruje pakietowe „oferty” dla klientów.
Badania techniczne (m.in. Splunk TR) pokazują, że Meduza:
Wejście/rozprzestrzenianie: phishing, złośliwe pobrania oraz kampanie wykorzystujące exploity; ekosystem reklamował buildery i panele operatorskie dostępne przez Telegram/fora.
Dla zespołów Blue/IT Sec:
Dla użytkowników/zarządów:
Arctic Wolf Labs ujawniło kampanię cyberszpiegowską przypisywaną grupie UNC6384 (łączonej w doniesieniach z Mustang Panda), która od września do października 2025 r. celowała w placówki dyplomatyczne w Belgii i na Węgrzech, a także w inne podmioty w Europie. Atakujący wykorzystują niezałataną podatność w skrótach Windows (.LNK) – CVE-2025-9491 – aby dostarczać i uruchamiać zdalnego trojana PlugX metodą DLL side-loading z użyciem podpisanych narzędzi Canona.
Trend Micro ZDI ujawniło podatność ZDI-CAN-25373 / CVE-2025-9491 18 marca 2025 r., wskazując na szerokie, realne wykorzystanie przez co najmniej 11 grup sponsorowanych przez państwa jeszcze przed publikacją. Microsoft uznał w marcu, że problem „nie spełnia progu” natychmiastowego serwisowania. W efekcie luka pozostaje bez oficjalnej poprawki, mimo że jest aktywnie nadużywana.
Dla szerszego tła: Google Threat Intelligence już w sierpniu 2025 r. przypisał UNC6384 złożoną kampanię wobec dyplomatów w Azji Południowo-Wschodniej (m.in. tematyka posiedzeń Rady UE), co spina się z obecnym „przeniesieniem” zainteresowań do Europy.
CVE-2025-9491 (UI misrepresentation, CVSS 7.0) dotyczy sposobu, w jaki Windows prezentuje metadane plików .LNK. Specjalnie „spadkowane” białe znaki w polu COMMAND_LINE_ARGUMENTS powodują, że złośliwa komenda jest niewidoczna w interfejsie, choć wykonuje się po uruchomieniu skrótu. Wymagana jest interakcja użytkownika (otwarcie pliku / odwiedzenie przygotowanej strony), jednak trik utrudnia manualną inspekcję.
U UNC6384 łańcuch obejmuje:
Departament Sprawiedliwości USA poinformował o ekstradycji z Irlandii 43-letniego Ołeksija Ołeksijowycza Łytwynenki, oskarżonego o współudział w kampaniach ransomware grupy Conti. Oskarżony usłyszał zarzuty zmowy w sprawie oszustwa komputerowego oraz zmowy w sprawie oszustwa telekomunikacyjnego, a maksymalne zagrożenie karą wynosi odpowiednio 5 lat i 20 lat pozbawienia wolności. Według akt sprawy miał m.in. kontrolować skradzione dane ofiar i współtworzyć/rozsyłać noty okupu w ramach podwójnego wymuszenia.
Łytwynenko miał działać w latach 2020–czerwiec 2022, tj. w szczycie aktywności Conti. Po rozpadzie „marki” Conti członkowie rozproszyli się do innych ekosystemów ransomware (m.in. BlackCat/ALPHV, Black Basta, Royal, Karakurt, Hive/AvosLocker itp.). Organy ścigania przypisują Conti największą liczbę ataków na infrastrukturę krytyczną w 2021 r. Ekstradycja domyka wieloetapowe postępowanie: areszt (VII 2023), decyzja High Court o zatrzymaniu do ekstradycji (II 2025), a następnie prawomocne oddalenie apelacji (X 2025).
Modus operandi Conti (TTPs):
Te techniki odpowiadają opisowi prokuratury, według której oskarżony kontrolował skradzione paczki danych wielu ofiar oraz brał udział w wysyłce not okupu. Poza Conti miał kontynuować cyberprzestępczość aż do dni przed aresztowaniem w 2023 r.
W ostatnich latach USA coraz częściej doprowadza do ekstradycji podejrzanych o cyberwymuszenia na bazie współpracy międzynarodowej i aktów oskarżenia w stanach szczególnie dotkniętych atakami. W sprawie Łytwynenki właściwość ustalono w Middle District of Tennessee, gdzie dwie ofiary miały zapłacić >500 tys. USD, a dane trzeciej upubliczniono – to analogiczny wzorzec do innych spraw kierowanych przez CCIPS i FBI (np. równoległe akty przeciw członkom TrickBot/Conti w 2023 r.).
Uwaga: wątek jest rozwojowy; toczące się postępowanie oznacza domniemanie niewinności do czasu prawomocnego wyroku. Daty i liczby w tekście pochodzą z materiałów DOJ i czołowych serwisów branżowych z 30–31 października 2025 r.
Arctic Wolf Labs opisało aktywną kampanię cyber-szpiegowską przypisywaną grupie UNC6384 ukierunkowaną na podmioty dyplomatyczne w Belgii i na Węgrzech (oraz inne cele w Europie). Ataki datowane są na wrzesień–październik 2025 r. i wykorzystują spreparowane skróty Windows (.lnk), które nadużywają podatności ZDI-CAN-25373 – techniki pozwalającej ukryć wykonanie poleceń poprzez manipulację argumentami w plikach LNK. Końcowym ładunkiem jest PlugX (SOGU) – znany trojan zdalnego dostępu często łączony z grupami powiązanymi z ChRL.
W sierpniu 2025 r. Google Threat Intelligence Group (GTIG) ujawniła wcześniejszą odsłonę kampanii UNC6384 wymierzoną w dyplomatów w Azji Południowo-Wschodniej. Tam atakujący przejmowali captive portal, podszywali się pod „Adobe plugin update” i w końcu dostarczali SOGU/PlugX przy użyciu side-loadingu komponentów Canona (STATICPLUGIN → MSI → CANONSTAGER).
Równocześnie PlugX pozostaje w centrum zainteresowania organów ścigania: 14 stycznia 2025 r. Departament Sprawiedliwości USA ogłosił operację usunięcia tej rodziny malware z ~4 258 komputerów w USA, wiążąc infekcje z Mustang Panda/Twill Typhoon.
The Record podkreśla, że PlugX od lat jest używany przez szereg chińskich grup, a działania DoJ to kontynuacja globalnych wysiłków po wcześniejszych przejęciach infrastruktury C2.
Łańcuch ataku (wariant europejski obserwowany przez Arctic Wolf):
COMMAND_LINE_ARGUMENTS). rjnlzlkfe.ta) do katalogu %AppData%\Local\Temp.cnmplog.dat). ZDI-CAN-25373 (aka ZDI-25-148): Trend Micro/ZDI opisuje wieloletnie i szerokie nadużycia tej słabości przez co najmniej 11 ugrupowań APT (KR/IR/RU/CN). Microsoft – według ZDI – nie wydał poprawki, co wymusza polityki ograniczania LNK i detekcje behawioralne.
PlugX/SOGU: wielofunkcyjny RAT znany od co najmniej 2008 r., zapewniający m.in. keylogging, exfiltrację plików, trwałość i zdalne sterowanie; stale ewoluuje (warianty Korplug/TIGERPLUG/SOGU).
Wybrane wskaźniki (IOC) z kampanii UNC6384 (Arctic Wolf):
Agenda_Meeting 26 Sep Brussels.lnk (SHA-256: 911cccd2…5fca539), cnmpaui.exe (Canon, legit), cnmpaui.dll (loader), cnmplog.dat (zaszyfrowany PlugX), rjnlzlkfe.ta (TAR).racineupci[.]org, dorareco[.]net, naturadeco[.]net, cseconline[.]org. Prewencja i twardnienie:
cnmpaui.exe) i blokowanie side-loadingu z niestandardowych ścieżek. Wykrywanie i hunting (przykłady):
cmd.exe/powershell.exe z rodzicem .lnk (reguły/hunty wg Trend Micro). %AppData%) i współwystępowanie plików cnmpaui.exe/.dll/.dat. gstatic → redirect → „plugin update” (artefakty kampanii GTIG/captive portal). Reakcja i ograniczanie skutków: