Китайская киберпреступная инфраструктура: автоматизация, бэкдоры и монетизация
SOCRadar обнаружила сложную инфраструктуру китайского киберкриминала с автоматизацией, оркестрацией и монетизацией
Команда исследователей угроз SOCRadar выявила развитую инфраструктуру, связанную с китайским киберкриминалом, которая сочетает автоматизированную эксплуатацию, структурированную оркестрацию операций и продуманную монетизацию украденных данных. По данным отчета, в центре схемы находятся бэкенд-система paperclip и агентная система рабочих процессов OpenClaw, позволяющие операторам управлять киберкампаниями через организованные миссии.
Разведка целей и автоматизированная эксплуатация
Атаки начинаются с масштабной интернет-разведки. Для этого злоумышленники используют инструменты FOFA и 360Quake. Первый применяется для поиска высокоценных целей — в частности, платформ Web3, fintech-сервисов и поставщиков средств защиты. Второй используется для технической идентификации уязвимых сервисов.
После отбора целей атакующие переходят к эксплуатации, используя собственные Python-скрипты. Эти скрипты автоматизируют выполнение типовых действий, включая:
- дамп переменных окружения;
- обход Web Application Firewall (WAF);
- параллельное выполнение операций на множестве целей.
Как подчеркивают исследователи, ключевая цель этой активности — не просто поиск уязвимостей, а надежное Remote Code Execution.
Сбор учетных данных и закрепление в инфраструктуре
Сбор учетных записей, по данным SOCRadar, осуществляется с помощью ключей AI, хранящихся в базе данных PostgreSQL. Для сохранения постоянного доступа злоумышленники развернули несколько механизмов закрепления:
- Cloudflare-туннели;
- P2P-клиенты;
- бэкдоры d2 и pl.
Такой набор инструментов обеспечивает скрытый и избыточный доступ к скомпрометированным целям, повышая устойчивость инфраструктуры к обнаружению и блокировке.
Fileless execution и управление миссиями
Отдельного внимания заслуживает безфайловая цепочка выполнения, предназначенная для бесшовного развертывания агентов управления. Она использует специфические Python-команды для загрузки и запуска полезной нагрузки напрямую из URL-адресов.
Оркестрация операций, согласно отчету, выстроена по четким этапам:
- планирование;
- разведка;
- проверка;
- отчетность.
Все эти стадии находятся под контролем человека, что, по оценке SOCRadar, демонстрирует целенаправленную интеграцию автоматизации с ручным надзором.
Монетизация украденных данных
Исследователи также отмечают продуманную схему монетизации. Злоумышленники используют API блокчейн-аналитики и проверки Stripe для анализа криптовалютных адресов и тестирования украденных ключей Stripe на предмет наличия доступных балансов. Это облегчает выбор наиболее ценных активов и повышает эффективность последующих атак.
Сдвиг в тактике киберкриминала
Масштаб инфраструктуры подчеркивает заметное предпочтение легких бэкдоров перед традиционными webshell. По мнению SOCRadar, это указывает на эволюционный сдвиг в тактике киберкриминала в сторону более эффективных и скрытных операций.
В целом отчет свидетельствует о более широком тренде: киберкриминальные группы переходят к высокоорганизованным, автоматизированным системам, которые объединяют эксплуатацию, извлечение данных и монетизацию в единый конвейер. На этом фоне, как отмечают исследователи, критически важным становится развитие защитных стратегий, учитывающих именно такие интегрированные методологии.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
