Пока хакеры делят влияние, вы теряете доступ к системам и клиентам.
Весной 2025 года активизировала масштабную кибероперацию, получившую условное название Operation RUN. По специалистов, за последние месяцы команда развернула сложную и многофазную кампанию, затронувшую сотни государственных и корпоративных ресурсов в Азии и за её пределами. Среди целей — сайты , банковские и правительственные серверы, инфраструктура искусственного интеллекта и системы управления цифровыми подписями.
Впервые об этой группировке заговорили в декабре 2024 года, когда она атаковала китайские форумы для разработчиков, включая CSDN. Однако после публикаций о данной активности UTG-Q-015 резко изменила тактику: вместо открытых атак и спама форумов начались изощрённые взломы через уязвимости 0day/Nday. Уже в марте было зафиксировано появление новой волны сканирующих узлов, ориентированных на перебор паролей к публичным веб-серверам. После успешного взлома хакеры устанавливали , модифицировали туннели nps, а затем использовали инструмент fscan для латерального перемещения по сети с помощью скомпрометированных учётных данных.
С апреля началась ещё одна стадия атак — массовое внедрение вредоносных скриптов в страницы входа и панели управления на сайтах, связанных с блокчейн-технологиями. По данным системы SkyRock от Qi'anxin, вредонос загружался с адресов, замаскированных под официальные обновления: например, с доменов updategoogls.cc и облачных хранилищ, привязанных к гонконгским серверам. Жертве отображалось сообщение о необходимости загрузки нового «инструмента», якобы требуемого для доступа. После запуска файла на устройство устанавливался лёгкий .NET-бэкдор, обладающий функциями удалённого исполнения команд и загрузки дополнительных компонентов. В списке заражённых оказались более ста сайтов, включая интерфейсы авторизации Web3, GitLab, биткойн-кошельков и систем цифровых подписей.
Отдельно стоит отметить кампанию, направленную против финансового сектора. Здесь применялась трёхфазная схема заражения: сначала через уязвимости проникали на пограничные веб-серверы организации и устанавливали загрузчики, затем сотрудникам рассылались в корпоративных IM-сервисах с приложением вида «confidential XXXX.exe». Это приложение при запуске подключалось к ранее скомпрометированному серверу организации и запрашивало финальную полезную нагрузку, завершая цепочку заражения.
Группировка также нацелилась на инфраструктуру, связанную с искусственным интеллектом на базе Linux. В феврале атакующие использовали в плагине ComfyUI-Manager, позволяющую через открытый порт загрузить вредоносную модель, которая активировала бэкдор Vshell. Позже, в апреле, они задействовали уязвимость CVE-2023-48022, чтобы получить доступ к исследовательским серверам ИИ, с которых выполнялось скачивание bash-скриптов и дополнительных плагинов, также приводивших к запуску Vshell.
Особое значение имеет идеологический фон операции. По наблюдениям специалистов, UTG-Q-015 представляет собой профессиональную команду, действующую с территории Юго-Восточной Азии и предоставляющую услуги компаниям и госорганам в этом регионе. Она жёстко конкурирует с другими , такими как участники операций EviLoong и Giant, которые занимаются высокоуровневым кибер в своих интересах. Конфликт между этими структурами носит не только коммерческий, но и политический характер — именно по этой причине UTG-Q-015 в прошлом году атаковала крупные китайские ИТ-форумы: в ответ на критику и в целях дискредитации.
Operation RUN демонстрирует новый уровень агрессии и организованности в азиатском киберпространстве. За внешне технической активностью скрываются идеологические разногласия, конфликт интересов и борьба за доминирование в цифровом регионе, где границы между коммерцией и политикой стремительно исчезают. Как показывают исследования, подобные становятся новой нормой в мире современных киберугроз.
Подробнее:
Весной 2025 года активизировала масштабную кибероперацию, получившую условное название Operation RUN. По специалистов, за последние месяцы команда развернула сложную и многофазную кампанию, затронувшую сотни государственных и корпоративных ресурсов в Азии и за её пределами. Среди целей — сайты , банковские и правительственные серверы, инфраструктура искусственного интеллекта и системы управления цифровыми подписями.
Впервые об этой группировке заговорили в декабре 2024 года, когда она атаковала китайские форумы для разработчиков, включая CSDN. Однако после публикаций о данной активности UTG-Q-015 резко изменила тактику: вместо открытых атак и спама форумов начались изощрённые взломы через уязвимости 0day/Nday. Уже в марте было зафиксировано появление новой волны сканирующих узлов, ориентированных на перебор паролей к публичным веб-серверам. После успешного взлома хакеры устанавливали , модифицировали туннели nps, а затем использовали инструмент fscan для латерального перемещения по сети с помощью скомпрометированных учётных данных.
С апреля началась ещё одна стадия атак — массовое внедрение вредоносных скриптов в страницы входа и панели управления на сайтах, связанных с блокчейн-технологиями. По данным системы SkyRock от Qi'anxin, вредонос загружался с адресов, замаскированных под официальные обновления: например, с доменов updategoogls.cc и облачных хранилищ, привязанных к гонконгским серверам. Жертве отображалось сообщение о необходимости загрузки нового «инструмента», якобы требуемого для доступа. После запуска файла на устройство устанавливался лёгкий .NET-бэкдор, обладающий функциями удалённого исполнения команд и загрузки дополнительных компонентов. В списке заражённых оказались более ста сайтов, включая интерфейсы авторизации Web3, GitLab, биткойн-кошельков и систем цифровых подписей.
Отдельно стоит отметить кампанию, направленную против финансового сектора. Здесь применялась трёхфазная схема заражения: сначала через уязвимости проникали на пограничные веб-серверы организации и устанавливали загрузчики, затем сотрудникам рассылались в корпоративных IM-сервисах с приложением вида «confidential XXXX.exe». Это приложение при запуске подключалось к ранее скомпрометированному серверу организации и запрашивало финальную полезную нагрузку, завершая цепочку заражения.
Группировка также нацелилась на инфраструктуру, связанную с искусственным интеллектом на базе Linux. В феврале атакующие использовали в плагине ComfyUI-Manager, позволяющую через открытый порт загрузить вредоносную модель, которая активировала бэкдор Vshell. Позже, в апреле, они задействовали уязвимость CVE-2023-48022, чтобы получить доступ к исследовательским серверам ИИ, с которых выполнялось скачивание bash-скриптов и дополнительных плагинов, также приводивших к запуску Vshell.
Особое значение имеет идеологический фон операции. По наблюдениям специалистов, UTG-Q-015 представляет собой профессиональную команду, действующую с территории Юго-Восточной Азии и предоставляющую услуги компаниям и госорганам в этом регионе. Она жёстко конкурирует с другими , такими как участники операций EviLoong и Giant, которые занимаются высокоуровневым кибер в своих интересах. Конфликт между этими структурами носит не только коммерческий, но и политический характер — именно по этой причине UTG-Q-015 в прошлом году атаковала крупные китайские ИТ-форумы: в ответ на критику и в целях дискредитации.
Operation RUN демонстрирует новый уровень агрессии и организованности в азиатском киберпространстве. За внешне технической активностью скрываются идеологические разногласия, конфликт интересов и борьба за доминирование в цифровом регионе, где границы между коммерцией и политикой стремительно исчезают. Как показывают исследования, подобные становятся новой нормой в мире современных киберугроз.
Подробнее:
Последнее редактирование:
