Khmer Shadow: шпионские кампании против госструктур Камбоджи

Подразделение Acronis по исследованию угроз (TRU) сообщило о выявлении двух шпионских кампаний под кодовым названием Khmer Shadow, нацеленных на камбоджийские государственные структуры. По данным отчета, основной интерес злоумышленников был сосредоточен на секторах defense и public works.

Ключевым элементом атаки стал собственный C++ loader под названием NIGHTFORGE, который распространялся через SFX archives с приманками на тему встреч. После запуска он расшифровывает и выполняет payload Havoc Demon непосредственно в памяти, что затрудняет его обнаружение традиционными средствами защиты.

Как работала цепочка атаки

Начальная фаза кампании строилась на phishing email с вложением в виде поддельного SFX-архива, замаскированного под PDF-document. Внутри архива находились как вредоносные компоненты, так и легитимные файлы, что позволяло скрыть истинное назначение вложения.

После запуска файла происходило sideloading библиотеки vmtools.dll. Для этого злоумышленники использовали легитимный исполняемый файл VMwareNamespaceCmd.exe, который подгружал вредоносную DLL и обеспечивал выполнение кода под видом доверенного процесса.

• доставка вредоносного кода через SFX archive;
• sideloading библиотеки vmtools.dll;
• выполнение через легитимный процесс VMwareNamespaceCmd.exe;
• скрытное развертывание payload Havoc Demon.

Техники обхода обнаружения

По оценке TRU, NIGHTFORGE демонстрировал продвинутые механизмы уклонения от детектирования. Среди них — unhooking of NTDLL и разрешение системных вызовов через Hell’s Gate. Такой подход позволяет выполнять direct system calls без срабатывания средств мониторинга в user mode.

Дополнительно загрузчик использовал комбинацию вызовов API для сокрытия своих действий и закрепления в системе. В частности, исследователи зафиксировали:

• закрепление через COM API;
• создание scheduled task для периодического запуска загрузчика;
• маскировку под легитимные процессы и компоненты;
• выполнение кода преимущественно в memory.

Havoc Demon и инфраструктура C2

Полезная нагрузка Havoc Demon использовала HTTP traffic, имитирующий обычное взаимодействие web browser. В запросах присутствовали заголовки, призванные скрыть подозрительную активность и снизить вероятность привлечения внимания со стороны защитных систем.

Связь с C2 была прослежена до домена sharingfile.cloud, зарегистрированного через NameSilo и скрытого за CloudFlare. Такая схема затрудняла определение реального источника инфраструктуры управления.

OPSEC-слабости и выводы аналитиков

Несмотря на использование сложных техник уклонения, кампании продемонстрировали слабые места в области OPSEC. В отчете отмечается повторное использование инфраструктуры и payloads в разных операциях, что снижает общий уровень скрытности и может облегчить дальнейшую атрибуцию.

Acronis не приписывает эти действия конкретному известному злоумышленнику. Причина — уникальная комбинация наблюдаемых tools и techniques. При этом паттерны целеполагания и операционные характеристики, по мнению исследователей, соответствуют шпионской деятельности regional actors в Southeast Asia.

TRU продолжит отслеживание этой группы для потенциальной будущей идентификации и атрибуции.

Таким образом, отчет Acronis фиксирует не только высокую техническую сложность кампании Khmer Shadow, но и типичный для шпионских операций баланс между stealth, persistence и целевым доступом к государственным структурам.