Китайская хакерская группировка атаковала более 70 организаций по всему миру

Китайская кибершпионская группировка провела масштабную серию атак, затронувшую более 70 организаций из разных отраслей и стран. Как сообщает The Hacker News, атаки фиксировались с июля 2024 по март 2025 года.

В числе пострадавших — государственные структуры Южной Азии, европейская медиакомпания, предприятия в сферах производства, финансов, науки, телекоммуникаций, а также IT-компания, обслуживающая логистику оборудования для сотрудников SentinelOne.

По данным экспертов, за атаками стоят китайские хакерские группы PurpleHaze, APT15 и UNC5174. Отдельную активность SentinelOne фиксировала в апреле 2024 года, когда злоумышленники проводили разведку серверов компании.

Исследователи выделили шесть ключевых эпизодов атак: взлом южноазиатских госструктур, вторжение в IT-логистическую фирму, атаки на международные компании и европейскую медиакомпанию.

Хакеры использовали вредоносное ПО ShadowPad, бэкдор GoReShell, а также впервые задействовали инструменты группы The Hacker's Choice (THC), которые ранее не применялись в государственных кибершпионских кампаниях.

Особую угрозу представляла эксплуатация уязвимостей CVE-2024-8963 и CVE-2024-8190, позволивших проникнуть в системы ещё до их публичного раскрытия. Инфраструктура ORB, использованная злоумышленниками, вероятно, размещалась в Китае.

После получения доступа UNC5174 могла передавать его другим аффилированным группировкам для продолжения атак.