Дипломатов заманили в ловушку через поддельное обновление Adobe

27.08.2025

Обычная процедура подключения к Wi-Fi в отеле или аэропорту обернулась шпионской операцией. Исследователи Google Threat Intelligence Group сообщили о серии атак китайской группировки UNC6384, нацеленной на дипломатов в Юго-Восточной Азии. Вместо страницы авторизации пользователи видели фальшивый портал, предлагавший «обновить Adobe Plugin». На деле это был тщательно замаскированный этап внедрения PlugX — одного из старейших и самых эффективных инструментов китайской киберарены.

Схема выглядела безупречно. Злоумышленники подменяли страницу входа в сеть, снабжали её HTTPS-сертификатом Let’s Encrypt и даже использовали подписанный файл AdobePlugins.exe. Для доверия применялись действительные цифровые подписи компании Chengdu Nuoxin Times Technology Co., выданные GlobalSign. После запуска «обновления» на компьютер загружался целый набор модулей: от загрузчика STATICPLUGIN до DLL-библиотеки CANONSTAGER, которая скрытно разворачивала основную нагрузку — модифицированный PlugX под названием SOGU.SEC.

PlugX работает с 2008 года и до сих пор остаётся любимым инструментом китайских группировок. Он крадёт пароли и документы, перехватывает нажатия клавиш, открывает удалённый доступ и способен подгружать новые модули. В этой кампании его запуск прятали за легитимным приложением Canon Printer Assistant Tool, что делало атаку ещё менее заметной. Эксперты указывают, что UNC6384 использует схожие тактики с известной Mustang Panda — группой, которую связывают с рядом крупных кибершпионских операций против правительств и НКО.

Особую тревогу вызывает использование действительных сертификатов для подписи вредоносных файлов. По данным Google, только с 2023 года в руках атакующих оказалось более двух десятков таких подписанных образцов. Это указывает на глубокие компрометации цепочек доверия и показывает, что UNC6384 и их союзники выходят на новый уровень маскировки. Для целей — дипломатов и международных организаций — это значит одно: привычные способы проверки подлинности ПО и порталов больше не гарантируют безопасность.