Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Nowa kampania przypisywana grupie Tropic Trooper pokazuje, jak skutecznie zaawansowani operatorzy APT łączą trojanizowane legalne oprogramowanie, wieloetapowe ładowanie payloadów oraz nadużycie popularnych usług deweloperskich do ukrywania komunikacji C2. W analizowanym scenariuszu zmodyfikowany instalator SumatraPDF pełni rolę nośnika dla loadera TOSHIS, który uruchamia beacon AdaptixC2 i otwiera drogę do dalszej kompromitacji systemu.
To przykład nowoczesnej operacji szpiegowskiej, w której granica między legalnym oprogramowaniem a malware staje się coraz trudniejsza do wychwycenia. Użytkownik widzi znany program i pozornie oczekiwany dokument, podczas gdy w tle wykonywany jest złożony łańcuch infekcji.
W skrócie
Kampania została wykryta 12 marca 2026 r. i była wymierzona głównie w osoby chińskojęzyczne, zwłaszcza w Tajwanie, a także w wybrane cele w Korei Południowej i Japonii. Łańcuch ataku rozpoczynał się od archiwum ZIP zawierającego przynęty związane z tematyką wojskową i geopolityczną.
- Ofiara uruchamiała spreparowany plik podszywający się pod SumatraPDF.
- Złośliwy plik wyświetlał dokument-wabik, jednocześnie pobierając kolejne etapy malware.
- Loader TOSHIS odszyfrowywał i uruchamiał w pamięci beacon AdaptixC2.
- Komunikacja C2 była ukrywana z wykorzystaniem GitHuba.
- Po selekcji cenniejszych ofiar wdrażano VS Code i tunele zdalnego dostępu.
Kontekst / historia
Tropic Trooper, znana również jako APT23, Earth Centaur, KeyBoy lub Pirate Panda, to grupa szpiegowska aktywna co najmniej od 2011 roku. Od lat koncentruje się na celach w regionie Azji i Pacyfiku, szczególnie w Tajwanie, Hongkongu i na Filipinach.
W przeszłości grupę łączono z użyciem własnych loaderów, backdoorów oraz narzędzi powszechnie dostępnych, takich jak Cobalt Strike. Obecna kampania wpisuje się w wcześniejsze wzorce działań, ale pokazuje też ewolucję arsenału. Badacze wskazują na podobieństwa do wcześniejszych operacji z użyciem loadera TOSHIS oraz zdalnego dostępu realizowanego przez VS Code, przy jednoczesnym przejściu na AdaptixC2 i ukrywaniu części infrastruktury sterującej za legalną platformą deweloperską.
Analiza techniczna
Atak rozpoczyna się od dostarczenia archiwum ZIP z dokumentami-wabikami. Po uruchomieniu złośliwego pliku wykonywalnego użytkownik widzi wiarygodnie wyglądający dokument PDF, co ma ograniczyć podejrzenia i obniżyć szansę szybkiego wykrycia incydentu.
Kluczowym elementem łańcucha jest loader TOSHIS. W analizowanej próbce nie zmodyfikowano klasycznie punktu wejścia programu, lecz nadpisano funkcję _security_init_cookie, aby przejęła wykonanie i uruchomiła złośliwy kod. Takie podejście lepiej ukrywa modyfikację binarki i utrudnia prostą analizę statyczną.
Loader buduje w pamięci wymagane ciągi znaków, rozwiązuje adresy funkcji API przy użyciu haszowania Adler-32, a następnie pobiera z serwera etapującego zarówno dokument-wabik, jak i zaszyfrowany shellcode. Kolejny etap jest odszyfrowywany przy użyciu AES-128 w trybie CBC z wykorzystaniem WinCrypt i uruchamiany bezpośrednio w pamięci. Tym etapem jest beacon AdaptixC2.
Szczególnie istotny jest sposób realizacji komunikacji C2. Zamiast standardowego listenera HTTP lub TCP operatorzy przygotowali własny mechanizm, w którym GitHub pełni rolę warstwy sterującej. Beacon wykorzystuje repozytorium oraz zgłoszenia issue do wymiany poleceń i danych, co utrudnia detekcję opartą wyłącznie na reputacji domen i może maskować ruch jako zwykłą aktywność związaną z legalnymi narzędziami programistycznymi. Dodatkowo agent generuje sesyjny klucz RC4 do szyfrowania dalszej komunikacji.
Po uzyskaniu przyczółka AdaptixC2 służy głównie do rekonesansu i oceny wartości ofiary. Jeśli host zostanie uznany za interesujący, atak przechodzi do kolejnego etapu: pobierany jest VS Code, a następnie konfigurowane są tunele zdalnego dostępu. Dzięki temu operatorzy otrzymują trwały i stosunkowo dyskretny kanał administracyjny oparty na powszechnie używanym narzędziu.
Na części systemów instalowano również inne trojanizowane aplikacje, prawdopodobnie w celu lepszego ukrycia aktywności wśród legalnego oprogramowania. Analiza infrastruktury ujawniła także dodatkowe artefakty, w tym próbki EntryShell oraz Cobalt Strike Beacon, co wzmacnia atrybucję i sugeruje elastyczne podejście operatorów do doboru narzędzi.
Konsekwencje / ryzyko
Najważniejsze ryzyko wynika z połączenia legalnych komponentów z niestandardowym malware. Użytkownik uruchamia aplikację wyglądającą jak znany czytnik PDF, widzi oczekiwany dokument, a równolegle dochodzi do wdrożenia wieloetapowego implantu. Taki model znacząco zwiększa skuteczność socjotechniki i utrudnia szybkie wykrycie kompromitacji.
Wykorzystanie GitHuba jako warstwy C2 stanowi poważne wyzwanie dla zespołów SOC. Ruch do popularnych usług chmurowych i platform deweloperskich często nie jest blokowany, a bez analizy semantyki żądań, wzorców API i zachowania procesów końcowych aktywność beacona może pozostać niezauważona.
Jeszcze większe zagrożenie stwarzają tunele VS Code. Ich nadużycie pozwala ominąć część tradycyjnych mechanizmów segmentacji i zdalnego dostępu, zapewniając stabilny kanał interaktywny. W praktyce może to prowadzić do długotrwałego rekonesansu, kradzieży danych, wdrażania kolejnych narzędzi i rozwijania operacji szpiegowskiej przy użyciu legalnego ekosystemu oprogramowania.
Dodatkowym problemem jest modularność łańcucha infekcji. AdaptixC2 może działać jako lekki etap selekcyjny, po którym tylko najbardziej wartościowe systemy otrzymują kolejne komponenty. To ogranicza ślad operacyjny napastników i utrudnia odtworzenie pełnego obrazu kampanii na podstawie pojedynczych incydentów.
Rekomendacje
Organizacje powinny traktować legalne narzędzia wykorzystywane niezgodnie z przeznaczeniem jako pełnoprawny element krajobrazu zagrożeń. W praktyce oznacza to potrzebę monitorowania uruchamiania SumatraPDF, VS Code i podobnych aplikacji w nietypowych kontekstach, zwłaszcza gdy startują z katalogów tymczasowych, archiwów pobranych z poczty lub niestandardowych ścieżek użytkownika.
Należy wdrożyć kontrolę integralności i walidację podpisów cyfrowych dla aplikacji dopuszczonych do uruchamiania. Sama nazwa pliku, ikona programu czy zgodny interfejs nie mogą być traktowane jako dowód autentyczności. W środowiskach o podwyższonym ryzyku warto stosować allowlisting aplikacji oraz ograniczać możliwość uruchamiania niesprawdzonych plików wykonywalnych przez użytkowników końcowych.
- Wykrywanie przejęcia przepływu wykonania legalnego procesu.
- Monitorowanie pobierania shellcode z zewnętrznej infrastruktury.
- Identyfikacja odszyfrowywania payloadów i ich uruchamiania wyłącznie w pamięci.
- Analiza nietypowych sekwencji użycia WinCrypt i ShellExecuteW.
- Kontrola komunikacji procesów użytkownika z API usług deweloperskich.
- Weryfikacja instalacji i konfiguracji tuneli VS Code poza standardowym procesem administracyjnym.
W warstwie sieciowej warto objąć dodatkowymi regułami inspekcji ruch do usług chmurowych i repozytoryjnych, szczególnie jeśli pochodzi z nietypowych hostów lub procesów. Ponieważ GitHub w wielu organizacjach jest usługą dozwoloną, kontrola powinna opierać się nie tylko na domenie, ale także na kontekście procesu, częstotliwości żądań, używanych endpointach API i anomaliach behawioralnych.
Zespoły obronne powinny również monitorować użycie tuneli zdalnych i narzędzi deweloperskich na stacjach, które nie pełnią funkcji programistycznych. Pomocne mogą być polityki ograniczające samodzielną instalację VS Code, rozszerzeń oraz funkcji zdalnego tunelowania, a także regularne polowania na zagrożenia pod kątem artefaktów powiązanych z AdaptixC2, TOSHIS, EntryShell i Cobalt Strike.
Podsumowanie
Kampania Tropic Trooper z kwietnia 2026 roku pokazuje dojrzałe podejście do cyberoperacji szpiegowskich: trojanizowanie popularnego oprogramowania, pamięciowe wdrażanie payloadów, ukrywanie C2 za legalną usługą oraz wykorzystanie VS Code do utrwalenia dostępu. To technicznie zaawansowany przykład łączenia autorskiego malware z powszechnie używanymi narzędziami administracyjnymi i deweloperskimi.
Dla obrońców najważniejsza lekcja jest jednoznaczna: filtrowanie domen i klasyczne IOC przestają wystarczać. Kluczowe stają się analiza behawioralna, korelacja zdarzeń na endpointach oraz wykrywanie nadużyć legalnego oprogramowania, bo właśnie na styku zaufanych aplikacji i nietypowych wzorców użycia współczesne kampanie APT budują swoją przewagę.
Źródła
- Tropic Trooper Uses Trojanized SumatraPDF and GitHub to Deploy AdaptixC2 — https://thehackernews.com/2026/04/tropic-trooper-uses-trojanized.html
- Tropic Trooper Pivots to AdaptixC2 and Custom Beacon Listener — https://www.zscaler.com/blogs/security-research/tropic-trooper-pivots-adaptixc2-and-custom-beacon-listener
- TAOTH: Tropic Trooper’s Latest Cyber-Espionage Campaign — https://www.trendmicro.com/en_us/research/23/j/taoth-tropic-troopers-latest-cyber-espionage-campaign.html
- RIFT: Analyses and Description of the New Version of EntryShell — https://hitcon.org/2020/download/0720A5_360.pdf