Аналітиками виявлено, що спонсорована урядом Китаю кібергрупа APT TA428 запустила нову фішингову кампанію, націлену на Україну, Росію та Білорусь. Ретельно розроблені фішингові електронні листи часто містять закриту інформацію про цільову організацію (наприклад, конструкторські бюро, науково-дослідні інститути, державні установи, промислові підприємства, міністерства та відомства). Вкладені шкідливі документи MS Word використовують вразливість Microsoft Equation Editor CVE-2017-11882 для встановлення зловмисного програмного забезпечення PortDoor. Для досягнення стійкості, безперервного зв’язку, горизонтального переміщення та крадіжки інформації зловмисники встановлюють додаткові бекдори Cotx, DNSep, Logtu, nccTrojan та CotSam. Електронні листи можуть надходити як з безкоштовних облікових записів електронної пошти, так і з скомпрометованих облікових записів користувачів. Раніше кіберзловмисники покладалися на експлойт Microsoft Equation Editor CVE-2018-0798, щоб створити спеціальне шкідливе програмне забезпечення Cotx RAT. Крім того, ця група APT може використовувати корисні навантаження Poison Ivy, які перекривають інфраструктуру командування та контролю (C2).
Підтримувана державою китайська кібершпигунська група APT41 (Winnti, Wicked Spider, Wicked Panda, Barium, Group72) почала використовувати різноманітні інструменти подвійного призначення для проведення розвідки та новий метод для розгортання основного корисного навантаження Cobalt Strike на системах жертв. Щоб запобігти виявленю, кіберзлочинці кодують основний двійковий код Cobalt Strike у Base64, а потім розбивають його на менші фрагменти по 775 символів, які потім додаються до текстового файлу або розбивають код на фрагменти по 1024 символи перед записом корисного навантаження в текстовий файл за допомогою 128 ітерацій процесу. Іншим унікальним методом було використання серверів командування та керування (C2) із понад 106 спеціальними SLL-сертифікатами (імітуючи такі компанії, як Microsoft і Cloudflare), що дозволило серверам C2 приймати лише визначені з’єднання, перешкоджаючи аналізу дослідників. В якості початкового вектору доступу учасниками кіберугруповання обрана нова тактика атаки SQL-ін’єкцією за допомогою інструменту SQLmap, що дозволило отримати доступ до командної оболонки на деяких цільових серверах. Після отримання доступу до цільової мережі APT41 розгортала інші спеціальні інструменти (DeployLog, Spyder Loader, StashLog, PrivateLog). Кіберзлочинці були націлені на бази даних з інформацією про наявні облікові записи користувачів, списки співробітників і паролі, що зберігаються у відкритому тексті та хешованій формі, атакувавши 86 уразливих веб-сайтів і додатків, які належали цільовим організаціям.
На фоні ведення російсько-української війни та зосередження уваги на загрозах від Росії, спонсоровані Китаєм кібергрупи продовжують оновлювати свої TTP та проводити активні кампанії кібершпигунства, спрямовані у тому числі й проти України.
