Китайские хакеры снова атакуют: операция «Красный дракон» нацелилась на дипломатов

Забытый инструмент, который считался уже неактуальным, вновь оказался в игре. Китайская хакерская группировка MirrorFace, известная также как Earth Kasha, устроила атаку на дипломатический институт в Центральной Европе, используя модификацию трояна AsyncRAT и давно забытый бэкдор ANEL. Операция, получившая название AkaiRyū («Красный дракон»), была выявлена в конце августа 2024 года и могла стать частью более широкой кампании, направленной на международные институты.

Чем интересна эта атака? MirrorFace, ранее известная своими ударами по японским организациям, расширяет свой «охотничий» ареал. Для заражения использовались документы, связанные с японской выставкой Expo 2025, а сам метод атаки — рассылка фишинговых писем с вредоносными вложениями. Как это работает? Когда жертва открывает файл, активируется скрытный механизм, который расшифровывает и загружает бэкдор ANEL, скрываясь в системах и оставляя за собой минимальные следы.

Но не только новые инструменты заставляют бить тревогу. Хакеры изменили свою тактику, предпочтя Visual Studio Code Remote Tunnels для скрытого удалённого доступа. Такой подход делает атаку почти невидимой, что увеличивает риски для безопасности систем. Эксперты также отмечают, что операция перекликается с другой атакой, зафиксированной в январе 2025 года японскими властями, что лишь подтверждает целеустремлённость группировки.

Сложности расследования остаются значительными. MirrorFace, как настоящие профессионалы, чистят следы, удаляя вредоносное ПО, файлы и логи. Такой уровень операционной безопасности затрудняет выяснение всех деталей атаки, но уже сейчас ясно одно: кибератаки становятся всё более продуманными и изощрёнными.