27/08/25
Механизм атаки начинался с проверки поисковиком подключения к интернету через тестовый запрос к домену gstatic.com. На этом этапе злоумышленники подменяли страницу входа в Wi-Fi на собственный ресурс, где предлагали установить обновление Adobe Plugin. Сайт имел HTTPS-соединение и сертификат Let’s Encrypt, что создавало иллюзию подлинности, пишет Securitylab.
Жертва загружала файл AdobePlugins.exe, являвшийся загрузчиком STATICPLUGIN. Этот модуль был подписан действительным сертификатом компании Chengdu Nuoxin Times Technology Co., Ltd, выданным GlobalSign. Через него происходила загрузка MSI-пакета с того же домена, запуск DLL-библиотеки CANONSTAGER и размещение в памяти основной полезной нагрузки — модификации PlugX под названием SOGU.SEC. Для незаметного запуска использовался инструмент Canon IJ Printer Assistant Tool, в который внедряли вредоносную библиотеку cnmpaui.dll.
PlugX, известный также как Korplug или SOGU, используется с 2008 года и продолжает оставаться ключевым элементом арсенала китайских киберопераций. Он способен перехватывать ввод с клавиатуры, выгружать и загружать файлы, управлять удалённой командной оболочкой и подключать дополнительные модули. Вредонос распространяется через фишинговые письма, USB-носители, взломанные сайты и поддельные установщики. Его преемником считается более современный бэкдор ShadowPad, однако PlugX по-прежнему активно задействован.
Google отмечает, что UNC6384 имеет тактические и инструментальные пересечения с Mustang Panda , также известной под именами Bronze President, Camaro Dragon, Earth Preta, RedDelta и другими. С 2023 года исследователи зафиксировали более двух десятков вредоносных образцов, подписанных сертификатами Chengdu, что вызывает вопросы о том, каким образом эти подписи оказались в распоряжении атакующих.
Эксперты считают, что для перенаправления трафика через поддельный портал применялись взломанные пограничные устройства в сетях целей, хотя способ проникновения остаётся неизвестным.
