Обнаружена сложная и продолжительная кампания кибершпионажа, связанная с поддерживаемыми китайским государством акторами, которая действовала в сетях множества военных и правительственных организаций Юго-Восточной Азии почти десятилетие. Исследователи безопасности из SentinelLabs компании SentinelOne подробно описали операцию, отличающуюся высокой степенью операционной безопасности и технической эволюции. Угрозовые акторы, отслеживаемые под кластерным названием "Stately Taurus" (с пересечениями с группами, известными как Camaro Dragon или Earth Lusca), последовательно нацеливались на высокоценные объекты, связанные с морским суверенитетом и территориальными спорами в Южно-Китайском море. Их основная цель — долгосрочная, скрытная эксфильтрация чувствительной геополитической разведывательной информации.
Долговечность кампании обеспечивается постоянно развивающимся набором инструментов, который сочетает в себе кастомное, новое вредоносное ПО с усовершенствованными версиями известных инструментов. Ключевым открытием является ранее не документированный бэкдор под названием "SpinyRegressor", сложный имплант на C++, развертываемый как значение в реестре Windows для обеспечения устойчивости. Он взаимодействует с командными серверами (C2) с использованием зашифрованных TCP-сокетов и применяет уникальный метод выполнения "без файлов", оставляющий минимальные криминалистические следы. Наряду с этим новым инструментом группа продолжает использовать обновленные варианты известных бэкдоров, таких как "WinDealer" и "DownPaper", демонстрируя приверженность как инновациям, так и надежному повторному использованию эффективного кода.
Уклонение и операционная безопасность — отличительные черты этой кампании. Акторы тщательно адаптируют свои фишинговые приманки под цели, используя документы, связанные с региональными военно-морскими учениями, военными партнерствами и геополитическими конференциями. Они используют украденные сертификаты для подписи кода, чтобы придать своему вредоносному ПО видимость легитимности для обхода средств безопасности. Инфраструктура тщательно управляется: домены часто регистрируются за годы до их использования в атаках, что позволяет им сливаться с легитимным трафиком. Такой "медленный и тихий" подход, избегающий разрушительных атак, является классическим для групп Продвинутых Постоянных Угроз (APT), ориентированных на шпионаж.
Последствия этого открытия значительны для региональной и глобальной кибербезопасности. Оно подчеркивает неослабевающий характер государственного кибершпионажа, где кампании измеряются не днями или месяцами, а годами и десятилетиями. Выбор целей напрямую соответствует стратегическим геополитическим интересам Китая в Южно-Китайском море, что highlights, как кибероперации стали основным компонентом современной государственной политики и сбора разведданных. Для оборонных организаций по всему миру это служит stark напоминанием о том, что защитники сетей должны исходить из того, что долгосрочный противник уже присутствует внутри. Это требует непрерывного поиска угроз, robust сегментации сетей и сосредоточения на обнаружении незаметной эксфильтрации малых объемов данных, а не только на предотвращении первоначального проникновения.
