Кампания была раскрыта исследователями Sysdig, которые подчеркнули, что злоумышленники всё чаще прибегают к таким инструментам не только из соображений экономии, но и чтобы маскироваться под менее организованных и малокомпетентных нападающих.
Группу UNC5174 ранее связывали с китайским правительством, и в течение последнего года она практически не привлекала внимания, пишет Securitylab. Однако новые атаки показывают, что активность возобновилась, причём с использованием продвинутой инфраструктуры.
В числе ранее использованных векторами проникновения уязвимостей фигурируют Connectwise ScreenConnect и F5 BIG-IP, позволяющие загрузить вредоносный ELF-файл SNOWLIGHT, написанный на C. Этот компонент выступает загрузчиком для туннелирующего модуля GOHEAVY на Go, взаимодействующего с C2-сервером через платформу SUPERSHELL.
Дополнительно злоумышленники применяли GOREVERSE — обратный шелл на Go, функционирующий через SSH. Французское агентство кибербезопасности ANSSI также подтвердило активность, схожую с методами UNC5174, указывая на эксплойты в Ivanti Cloud Service Appliance. Среди эксплуатируемых уязвимостей упоминаются CVE-2024-8963 , CVE-2024-9380 и CVE-2024-8190 , с помощью которых устанавливается контроль над системой и запускается произвольный код.
Оба инструмента — SNOWLIGHT и VShell — способны работать не только на Linux, но и на macOS. VShell при этом маскируется под поддельное приложение Cloudflare для аутентификации. По данным анализа, такие исполняемые файлы загружались на VirusTotal из Китая в октябре 2024 года, что указывает на более раннее тестирование связки.
В ходе недавней атаки, зафиксированной в январе 2025 года, SNOWLIGHT выполнял роль загрузчика для VShell — RAT-инструмента, действующего без сохранения на диск, исключительно в оперативной памяти. Это усложняет его обнаружение традиционными средствами. Неизвестный на данный момент вектор начального доступа использовался для запуска вредоносного bash-скрипта «download_backd.sh», устанавливающего два бинарных файла: «dnsloger» (SNOWLIGHT) и «system_worker» (модуль Sliver), ответственных за установление постоянства в системе и связь с сервером управления.
На завершающем этапе атаки SNOWLIGHT инициировал запрос к C2-серверу, получая VShell. Этот RAT позволяет выполнять команды, загружать и выгружать файлы, обеспечивая полноценный контроль над заражённой машиной. Особую угрозу представляют применяемые тактики: использование WebSocket-соединений для связи и полное отсутствие следов на диске.