Кампания China-nexus: DLL sideloading и CVE-2025-8088 в Юго-Восточной Азии

Исследователи описали недавно выявленную кампанию кибершпионажа, приписываемую APT-группировке China-nexus. Мишенями атак стали государственные и корпоративные структуры в Юго‑Восточной Азии — в частности, Лаос, Камбоджа, Сингапур, Филиппины и Индонезия. Атакующие применяют сложную, многоэтапную цепочку с активным использованием DLL sideloading, нескольких видов полезной нагрузки и ограничений доступа к инфраструктуре C2 для повышения собственной OPSEC.

Ключевые факты по кампании

• Многоэтапная схема атаки — четыре основных этапа.
• Первичное заражение через архивацию, использующую уязвимость CVE-2025-8088 (обход пути в WinRAR).
• Использование легитимных исполняемых файлов (например, OBS, компонент Adobe) в сочетании с модифицированными DLL для скрытой загрузки и выполнения вредоносного кода.
• Наличие двух облегчённых бэкдоров с разной функциональностью: один на базе модифицированного libcef.dll, другой — C++ через DLL sideloading.
• Инфраструктура C2 часто размещается через Cloudflare, доступ ограничён геолокацией и особым User‑Agent.
• В отчёте приведены IOC (хэши вредоносных файлов, домены C2 и др.), указывающие на широкую географию и эволюцию инструментов.

Как начинается атака (этап 1)

Первичная доставка вредоносного ПО осуществляется через письмо с вложением, замаскированным под деловое предложение. Вложение обозначено как «Proposal_for_Cooperation_3415.05092025.rar». Архив эксплуатирует уязвимость CVE-2025-8088, обход пути в WinRAR, что позволяет извлечь и развернуть полезную нагрузку на машине жертвы без надлежащей проверки.

Этап 2 — легитимный бэкдор на базе OBS

На втором этапе злоумышленники разворачивают связку из легитимного исполняемого файла Open Broadcaster Software (OBS) и модифицированной библиотеки libcef.dll. Такая связка функционирует как исходный бэкдор и предназначена для разведки и сбора данных с заражённого хоста.

Упрощённый набор команд облегчённого бэкдора включает всего три команды, управляемые через Telegram-бот:

• /shell — выполнение командной оболочки (например, systeminfo, tasklist);
• /screenshot — снятие скриншотов рабочего стола;
• /upload — загрузка/установка дополнительных вредоносных файлов.

Команды типа «/shell systeminfo» и «/shell tasklist» позволяют атакующим оценивать окружение цели — отличать песочницу/изоляцию от реального целевого хоста.

Закрепление достигается через использование schtasks (вызовы через /shell schtasks), что обеспечивает персистентность даже после перезагрузки.

Этап 3 — злоупотребление компонентом Adobe для загрузки окончательного бэкдора

Далее злоумышленники вновь применяют технику DLL sideloading, но уже с компонентом Adobe Creative Cloud, целью злоупотребления становится CRClient.dll. Это обеспечивает и обход мер безопасности, и расшифровку/развёртывание окончательного бэкдора на целевой системе.

Этап 4 — облегчённый C++ бэкдор через DLL sideloading

Финальный этап использует облегчённый бэкдор, написанный на C++, который также доставляется и запускается посредством DLL sideloading. Его поведение по функциональности сходно с предыдущими модулями, однако архитектура и кодовые отличия говорят об эволюции инструментов группы.

Тактики, техники и процедуры (TTP)

• Использование легитимного софта (OBS, Adobe) как прикрытия для выполнения вредоносных DLL.
• Эксплуатация недавно обнаруженной уязвимости WinRAR (CVE-2025-8088) для доставки начальной нагрузки.
• Телеграм‑боты в роли канала управления, что помогает сокрыть C2‑каналы и затрудняет обнаружение.
• Ограничения доступа к C2 по географии и User‑Agent, размещение инфраструктуры через Cloudflare — всё это повышает OPSEC злоумышленников.

IOC и следы компрометации

В отчёте указаны многочисленные IOC: хэши использованных вредоносных файлов и домены C2, раскиданные по разным регионам. Эти данные позволяют защитникам произвести таргетированную проверку и реагирование. Конкретные индикаторы стоит интегрировать в SIEM/EDR-правила и системы блокировки на границе сети.

Оценка и выводы

Анализ показывает, что China-nexus ведёт целенаправленную, адаптивную кампанию с повышенным вниманием к сохранению анонимности и минимизации артефактов, которые могли бы привести к обнаружению. Переход от простых инструментов к комбинированию легитимного ПО и продвинутых техник доставки (CVE‑эксплуатация + DLL sideloading) указывает на эволюцию методологии и серьёзную подготовку.

Рекомендации для потенциальных целей

• Провести немедленный аудит входящей почты и проверить наличие подозрительных RAR‑вложений, особенно с именами наподобие «Proposal_for_Cooperation_3415.05092025.rar»;
• Обновить WinRAR и другие архиваторы, устранить уязвимость CVE-2025-8088 на всех рабочих станциях и серверах;
• Проанализировать поведение приложений, способных загружать сторонние DLL (OBS, Adobe), и включить мониторинг целостности библиотек (libcef.dll, CRClient.dll и т.д.);
• Ограничить/блокировать подозрительные домены и IP, интегрировать IOC в систему обнаружения и реагирования;
• Контролировать использование Telegram‑ботов во внешних коммуникациях и задать политику блокировки несанкционированных ботов на внутрикорпоративных сетях;
• Настроить детекцию команд вида systeminfo, tasklist, schtasks в аномальном контексте и расследовать нетипичные запросы на удалённое выполнение.

Заключение

Обнаруженная кампания демонстрирует скоординированный и технически подкованный подход: злоумышленники комбинируют эксплуатацию известных уязвимостей, использование легитимного ПО для прикрытия и продуманные меры по маскировке C2‑инфраструктуры. Организациям в зоне риска рекомендуется срочно пересмотреть защитные меры, актуализировать IOC и усилить мониторинг атипичной активности на конечных точках.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.