Специалисты Symantec Threat Hunter Team сообщают, что связанная с Китаем группировка Jewelbug провела около пяти месяцев в сети неназванного российского поставщика ИТ-услуг. Подчеркивается, что это первый случай, когда группа действует за пределами Юго-Восточной Азии и Южной Америки.
По данным исследователей, вредоносная активность продолжалась с января по май 2025 года. Отмечается, что атаки Jewelbug пересекаются с известными кластерами угроз: CL-STA-0049 (Palo Alto Networks), Earth Alux (Trend Micro) и REF7707 (Elastic Security Labs).
В Symantec пишут, что эта атака показывает, что Россия не является «запретной зоной» для китайских кибершпионских операций, несмотря на улучшение военных, экономических и дипломатических отношений между Москвой и Пекином.
«Атакующие получили доступ к репозиториям кода и системам сборки ПО, которые потенциально можно было использовать для атак на цепочки поставок, нацеленных на клиентов компании в России, — говорится в отчете компании. — Также примечательно, что хакеры выгружали данные в Yandex Cloud».
В атаке на российского ИТ-провайдера Jewelbug использовала переименованную версию Microsoft Console Debugger (cdb.exe), которую можно применять для запуска шеллкода и обхода белых списков приложений, а также для запуска исполняемых файлов, DLL и завершения работы защитных решений.
Также группировка занималась сбором учетных данных, закрепилась в системах компании-жертвы через запланированные задачи и постаралась скрыть следы своей активности, очищая журналы событий Windows.
Исследователи считают, что атака на поставщика ИТ-услуг — стратегический ход, открывающий дорогу к возможным атакам на цепочки поставок и позволяющий злоумышленникам использовать компрометацию для одновременного взлома ряда целей (к примеру, через вредоносные обновления).
Earth Alux активна как минимум со второго квартала 2023 года, атакуя преимущественно правительственные, технологические, логистические, производственные, телекоммуникационные организации, ИТ-провайдеров и ритейл в Азиатско-Тихоокеанском регионе и Латинской Америке, где хакеры распространяли такую малварь, как VARGEIT и COBEACON (Cobalt Strike Beacon).
В атаках CL-STA-0049/REF7707, в свою очередь, использовался продвинутый бэкдор FINALDRAFT (он же Squidoor), способный заражать системы как под управлением Windows, так и Linux.
По данным Symantec, атака на российскую компанию — это первый случай, когда эти два кластера вредоносной активности оказались связаны воедино.
Кроме того, эксперты связали Jewelbug со взломом крупной правительственной организации в Южной Америке в июле 2025 года, где хакеры развернули ранее неизвестный бэкдор, который все еще находится в разработке. Малварь использует Microsoft Graph API и OneDrive в качестве управляющего сервера, может собирать системную информацию, перечислять файлы с целевых машин и загружать данные в OneDrive.
Использование Microsoft Graph API позволяет хакерам маскироваться под обычный сетевой трафик и оставляет в системах минимум артефактов, усложняя анализ после инцидента и продлевая время присутствия злоумышленников в сети.
«Jewelbug предпочитает использовать облачные сервисы и другие легитимные инструменты, чтобы оставаться незамеченной и создавать скрытое и устойчивое присутствие в сетях жертв, что для этой группы критически важно», — отмечает Symantec.
