GitLab рухнул, криптокошельки скомпрометированы, банки атакованы: Азия в эпицентре кибервойны

29.05.2025

Весной 2025 года в цифровом подполье разгорелась настоящая война за контроль над инфраструктурой. Кибер-группировка UTG-Q-015 развязала масштабную кампанию под условным названием Operation RUN, охватившую сотни ресурсов в Азии и за её пределами — от банков и правительственных серверов до блокчейн-сервисов и систем цифровой подписи.

Впервые внимание к UTG-Q-015 привлекли атаки на китайские IT-форумы в конце 2024 года. После этого хакеры сменили тактику, сосредоточившись на скрытных взломах с использованием 0day и Nday уязвимостей. Уже к марту специалисты зафиксировали попытки перебора паролей к публичным веб-серверам, после чего в систему внедрялись инструменты типа Cobalt Strike и вредоносные туннели.

С апреля активность сместилась к Web3-платформам: страницы входа заражались скриптами, подделывались обновления, а пользователям подсовывались загрузки с поддельных доменов. Итог — заражённые GitLab-инстансы, взломанные кошельки и скомпрометированные авторизационные системы.

Финансовый сектор также оказался под ударом. В организациях сначала взламывались периферийные серверы, затем сотрудники получали вредоносные исполняемые файлы через мессенджеры, что завершалось установкой удалённого доступа к внутренним системам.

Отдельный фокус — на инфраструктуре искусственного интеллекта. В феврале была задействована уязвимость в ComfyUI-Manager, в апреле — CVE-2023-48022, позволившие загружать вредоносные модели и скрипты с активацией бэкдора Vshell.

UTG-Q-015 действует из Юго-Восточной Азии и конкурирует с другими китайскоязычными группами, включая EviLoong и Giant. Эксперты отмечают, что конфликты между этими структурами приобретают не только киберпреступный, но и политический характер.

Как отмечается в материале SecurityLab, эта операция — сигнал о новой нормальности в сфере киберугроз: масштаб, идеологический фон и сложная архитектура атак указывают на рост организованности и агрессии в цифровом подполье.