APT-C-60 атакует Японию через LNK, mshta.exe и легитимные сервисы

APT-C-60 продолжает скрытную кампанию: легитимные сервисы и LNK-файлы против организаций в Японии

В 2026 году кибергруппировка APT-C-60 не только сохранила фокус на японских организациях, но и заметно усовершенствовала арсенал первоначального доступа. Серия новых атак демонстрирует, как злоумышленники всё глубже внедряются в доверенную цифровую среду — от файловых ярлыков Windows до популярных платформ для разработчиков.

Эволюция атакующей цепочки: LNK-файл и mshta.exe

Одним из ключевых инструментов последней кампании стал вредоносный LNK-файл. При запуске он не просто выполняет встроенную команду, а реплицирует сам себя, после чего задействует легитимный интерпретатор mshta.exe. Процесс запускает внедрённый JavaScript-код, который обеспечивает загрузку и выполнение дополнительной полезной нагрузки. Такой приём позволяет эксплуатировать штатные функции операционной системы и маскировать вредоносную активность под поведение доверенных компонентов Windows.

Инфраструктура на доверенных площадках

Для доставки контента группировка сознательно выбирает сервисы, которые редко блокируются в корпоративных сетях. Ранее APT-C-60 опиралась на GitHub и Bitbucket, однако теперь список расширился:

  • GitLab
  • jsDelivr — сеть доставки контента (CDN)
  • Codeberg

Такие платформы позволяют вредоносному трафику сливаться с нормальной рабочей активностью разработчиков и служб CDN, что существенно затрудняет обнаружение как на уровне прокси, так и средствами поведенческого анализа.

Полезная нагрузка: SpyGlace и нестандартные хранилища

Основным полезным грузом в атаках остаётся бэкдор SpyGlace. Подтверждено использование версий 3.1.15, 3.1.17 и 3.1.18. Несмотря на смену минорных номеров, исследователи не зафиксировали значимых функциональных отличий от предшествовавших итераций — злоумышленники, вероятно, вносили лишь незначительные доработки.

Распространение SpyGlace также включало Proton Drive для размещения файлов и упаковку LNK-ярлыка в архив RAR. Связка облачного хранилища и сжатого файла добавляла ещё один уровень уклонения от статического анализа на стороне получателя.

Защита и признаки компрометации

Тактики APT-C-60 подчёркивают необходимость строгой проверки любых ссылок на облачные ресурсы и файлов с расширением .LNK, особенно когда они поступают из неподтверждённых писем. Рекомендуется инструктировать пользователей не запускать ярлыки, полученные извне, даже если они выглядят безобидно.

Опубликованные индикаторы компрометации (IoCs) дают критически важную основу для детектирования и реагирования. В их числе:

  • адреса управляющих серверов (C2);
  • хеш-суммы вредоносных файлов.

Своевременная загрузка этих индикаторов в SIEM-системы и песочницы позволит выявить скрытую активность даже в тех случаях, когда злоумышленники успешно маскируются под легитимные сервисы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: