Китайські хакери атакували російський уряд оновленим вірусом RAT

25 апреля 2025 22:20

Китайська хакерська група IronHusky націлилася на російські та монгольські урядові установи. Вони використовують оновлену версію шкідливого ПЗ MysterySnail RAT, вбудовану у фальшиві документи Word, щоб отримати віддалений контроль над зараженими пристроями.

Найкращі друзі

IronHusky вже не вперше використовує це ПЗ у своїх шпигунських кампаніях, але дослідники виявили нову активність цієї групи під час аналізу свіжих кіберінцидентів. Хакери поширювали шкідливий код через змінений скрипт, замаскований під файл Word. Після відкриття документа на заражений комп’ютер непомітно завантажувалося нове програмне забезпечення, яке забезпечувало присутність у системі, повідомляє 24 Канал з посиланням на BleepingComputer.

Одне з виявлених ПЗ – це проміжний бекдор, що дозволяє пересилати файли зі зламаного пристрою на сервер IronHusky, запускати командні оболонки, створювати нові процеси, видаляти файли та виконувати інші дії.

Знайдені вірусні файли залишають сліди, схожі на MysterySnail RAT, уперше описаний ще в 2021 році. Тоді він був вбудований у заражені системи як фоновий сервіс. Тепер же дослідники зафіксували появу полегшеної однокомпонентної версії вірусу, яку вони назвали MysteryMonoSnail. Ця нова версія RAT підтримує десятки команд.

Оператори віруса можуть керувати службами на зараженому пристрої, виконувати команди з командного рядка, запускати чи зупиняти процеси, оперувати файлами та здійснювати інші дії, що дають повний контроль над комп’ютером жертви.

Коли MysterySnail RAT виявили вперше, він був спрямований проти ІТ-компаній, оборонних підрядників і дипломатичних установ у Росії та Монголії. Тоді IronHusky розповсюджували шкідливе ПЗ через експлойти нульового дня, які використовували вразливість у драйверах ядра Windows.

Сама ж група IronHusky в поле зору дослідників по всьому світу ще у 2017 році. Тоді вона здійснювала атаки, метою яких був збір інформації про військові переговори між Росією та Монголією. У 2018 році вони знову активізувались, використовуючи вже іншу вразливість у Microsoft Office, яку також експлуатували інші китайські групи, PlugX і PoisonIvy.

Варто зазначити, що виявленням, вивченням та описом нового віруса і цієї атаки займалися самі ж росіяни, а саме "Лабораторія Касперського". Тобто вони чудово знають, що Китай, їхній найближчий союзник у війні проти України, влаштовує кібератаки на урядові ресурси. Однак це, судячи з усього, є для Росії допустимою ціною, на яку вони готові закривати очі в обмін на допомогу, яку надає Пекін. Наприклад, тиждень тому президент Зеленський заявив, що Китай постачає Росії зброю, зокрема порох та артилерію, та може виробляти її на російській території.

Источник: 24tv.ua