Китайский шпионский DLL обходил EDR и YARA

Анализированный образец, идентифицированный как PE64 DLL, не вызвал срабатываний со стороны EDR и не был обнаружен существующими правилами YARA. Тем не менее файл был выявлен в ходе threat hunting, инициированного аномалиями телеметрии. Совокупность признаков указывает на то, что речь идёт о потенциально опасном компоненте, связанном с деятельностью китайского кибершпионского актора DaemonicLogistics.

Что известно об образце

Среди ключевых характеристик файла отмечаются:

• отправка из Китая;
• утверждение, что это легитимный бинарный файл Microsoft;
• несоответствие стандартным схемам путей PDB;
• отсутствие цифровой подписи;
• наличие выраженных вредоносных функций.

Особое внимание вызывает и тот факт, что образец демонстрирует низкий уровень обнаружения: антивирусные решения зафиксировали лишь четыре срабатывания, а уверенной атрибуции на момент анализа не было. При этом совокупность признаков делает его назначение очевидно подозрительным.

Связь с DaemonicLogistics и LittleDaemon

Наиболее заметная особенность образца — его связь с китайским шпионским актором DaemonicLogistics. Анализ PDB path указывает на возможные пересечения с проектом LittleDaemon, что позволяет предположить связь скомпилированного бинарного файла MemloadX64.dll с подпроектом NSP64, вероятно расшифровываемым как NewServiceProcess.

Подобная корреляция важна, поскольку она помогает выстроить более точную картину инфраструктуры и инструментов, используемых в текущих кампаниях, связанных с китайскими злоумышленниками.

Предполагаемые возможности

Подразумеваемая функциональность образца включает code injection в процессы — технику, которая часто применяется для доставки вредоносных payload и скрытного выполнения кода в целевой системе.

Код файла содержит слой obfuscation, предназначенный для повышения скрытности, однако он реализован лишь частично. Этот слой ориентирован на разрешение API ntdll через хранение побитово-инвертированных представлений ключевых функций, таких как LdrLoadDll и NtAllocateVirtualMemory, в секции .rdata.

Такой подход позволяет избежать прямых static imports, которые легче обнаруживаются средствами безопасности и могут использоваться как признак вредоносной активности.

Роль Exalyze в анализе

Для дальнейшего исследования использовалась платформа Exalyze, которая отметила несколько свойств файла как suspicious. Именно её результаты помогли подтвердить, что бинарный файл тесно связан с инструментом DaemonicLogistics, который обычно ассоциируется с PlushDaemon.

Это дополнительно укрепляет вывод о том, что образец может быть частью продолжающейся активности, связанной с китайскими кибероперациями.

Вывод

Хотя файл не вызвал массовых детектов и не был автоматически классифицирован как вредоносный на раннем этапе, его технические характеристики, скрытность, признаки obfuscation и связь с известной шпионской инфраструктурой делают его значимым объектом для дальнейшего threat intelligence анализа.

Подобные находки расширяют понимание инструментов и техник, используемых в современных кибершпионских кампаниях, и подчёркивают важность обнаружения угроз не только по сигнатурам, но и по аномалиям поведения и телеметрии.