Кибершпионаж против полиции Белуджистана: Китай, Индия и вредоносные инструменты
С февраля 2024 года по апрель 2026 года правоохранительные органы Пакистана находились под прицелом устойчивой кибершпионской кампании. Наиболее пострадала полиция провинции Белуджистан — региона, где сохраняется напряжённость из-за сепаратистского восстания. Злоумышленники, предположительно связанные с Китаем и Индией, целенаправленно атаковали инфраструктуру, содержавшую биометрические данные, материалы уголовных дел и личные сведения сотрудников.
Расширение географии атак
Помимо полиции Белуджистана, вторжения затронули другие силовые структуры:
- полиция провинции Хайбер-Пахтунхва,
- столичная полиция Исламабада.
Обнаружение бэкдоров PlugX и ShadowPad указывало на скоординированные действия спонсируемых китайским государством группировок. Одновременно с этим использование Remcos связали с проиндийским актором, отслеживаемым как TAG-179. Его активность и расширение инструментария заметно выросли с начала 2025 года, что подтверждается независимыми данными экспертов по кибербезопасности.
Арсенал кибершпионов
Для проникновения и закрепления в сетях применялся разнообразный вредоносный инструментарий:
- PlugX — модульный бэкдор, традиционно ассоциируемый с китайскими кампаниями;
- ShadowPad — ещё один сложный имплант, часто служащий платформой для доставки дополнительных модулей;
- Cobalt Strike — легитимный фреймворк для пентестов, злоупотребление которым характерно для многих APT-групп;
- Remcos — коммерческий Remote Access Trojan (RAT), использовавшийся в атаках, приписываемых актору с индийскими связями.
Почему Белуджистан? Мотивы Китая и Индии
Интерес Пекина продиктован заботой о безопасности китайских граждан, работающих в Пакистане. Повторяющиеся нападения на них со стороны белуджистанских боевиков и неудовлетворённость эффективностью местных правоохранителей побудили Китай проводить самостоятельную оценку угроз. Независимый сбор разведывательных данных позволял получать информацию об оперативной обстановке и потенциальных рисках.
Действия Индии, напротив, укладываются в контекст давнего регионального соперничества. Провинция Белуджистан традиционно фигурирует во взаимных обвинениях стран в поддержке милитантизма, и получение доступа к полицейским базам данных могло предоставить ценные сведения о внутренней безопасности Пакистана.
Как происходило вторжение: эксплуатация CMS и маскировка под обновления
Технический разбор инцидентов показал, что злоумышленники скомпрометировали веб-приложение полиции Белуджистана, а именно систему управления жалобами (CMS). Вредоносные custom implants маскировались под легитимные обновления портала. Это превратило официальный цифровой инструмент правоохранителей в канал распространения вредоносного ПО, кратно расширяя возможности наблюдения — под угрозой находились не только сотрудники, но и граждане, взаимодействовавшие с системой.
В ходе атаки применялся многоступенчатый stager, функционально схожий с ранее зафиксированными образцами. Такой компонент, как правило, используется для первичного закрепления в системе и последующей загрузки основного вредоносного кода, нацеленного на эксфильтрацию оперативных данных. Среди похищенной информации — регистрационные записи, детали уголовных дел и персональные данные полицейских, что позволяло атакующим контролировать как личный состав, так и гражданский сектор.
Инцидент наглядно демонстрирует, как уязвимости публичных государственных сервисов открывают дорогу масштабному шпионажу, в котором геополитические интересы пересекаются с уязвимостями программного обеспечения.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



