Кибершпионаж против полиции Белуджистана: Китай, Индия и вредоносные инструменты

С февраля 2024 года по апрель 2026 года правоохранительные органы Пакистана находились под прицелом устойчивой кибершпионской кампании. Наиболее пострадала полиция провинции Белуджистан — региона, где сохраняется напряжённость из-за сепаратистского восстания. Злоумышленники, предположительно связанные с Китаем и Индией, целенаправленно атаковали инфраструктуру, содержавшую биометрические данные, материалы уголовных дел и личные сведения сотрудников.

Расширение географии атак

Помимо полиции Белуджистана, вторжения затронули другие силовые структуры:

  • полиция провинции Хайбер-Пахтунхва,
  • столичная полиция Исламабада.

Обнаружение бэкдоров PlugX и ShadowPad указывало на скоординированные действия спонсируемых китайским государством группировок. Одновременно с этим использование Remcos связали с проиндийским актором, отслеживаемым как TAG-179. Его активность и расширение инструментария заметно выросли с начала 2025 года, что подтверждается независимыми данными экспертов по кибербезопасности.

Арсенал кибершпионов

Для проникновения и закрепления в сетях применялся разнообразный вредоносный инструментарий:

  • PlugX — модульный бэкдор, традиционно ассоциируемый с китайскими кампаниями;
  • ShadowPad — ещё один сложный имплант, часто служащий платформой для доставки дополнительных модулей;
  • Cobalt Strike — легитимный фреймворк для пентестов, злоупотребление которым характерно для многих APT-групп;
  • Remcos — коммерческий Remote Access Trojan (RAT), использовавшийся в атаках, приписываемых актору с индийскими связями.

Почему Белуджистан? Мотивы Китая и Индии

Интерес Пекина продиктован заботой о безопасности китайских граждан, работающих в Пакистане. Повторяющиеся нападения на них со стороны белуджистанских боевиков и неудовлетворённость эффективностью местных правоохранителей побудили Китай проводить самостоятельную оценку угроз. Независимый сбор разведывательных данных позволял получать информацию об оперативной обстановке и потенциальных рисках.

Действия Индии, напротив, укладываются в контекст давнего регионального соперничества. Провинция Белуджистан традиционно фигурирует во взаимных обвинениях стран в поддержке милитантизма, и получение доступа к полицейским базам данных могло предоставить ценные сведения о внутренней безопасности Пакистана.

Как происходило вторжение: эксплуатация CMS и маскировка под обновления

Технический разбор инцидентов показал, что злоумышленники скомпрометировали веб-приложение полиции Белуджистана, а именно систему управления жалобами (CMS). Вредоносные custom implants маскировались под легитимные обновления портала. Это превратило официальный цифровой инструмент правоохранителей в канал распространения вредоносного ПО, кратно расширяя возможности наблюдения — под угрозой находились не только сотрудники, но и граждане, взаимодействовавшие с системой.

В ходе атаки применялся многоступенчатый stager, функционально схожий с ранее зафиксированными образцами. Такой компонент, как правило, используется для первичного закрепления в системе и последующей загрузки основного вредоносного кода, нацеленного на эксфильтрацию оперативных данных. Среди похищенной информации — регистрационные записи, детали уголовных дел и персональные данные полицейских, что позволяло атакующим контролировать как личный состав, так и гражданский сектор.

Инцидент наглядно демонстрирует, как уязвимости публичных государственных сервисов открывают дорогу масштабному шпионажу, в котором геополитические интересы пересекаются с уязвимостями программного обеспечения.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: