СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:36
#ИБ

KnownSec Leak: доказательства наступательной киберразведки Китая

В ноябре 2025 года всплыла утечка KnownSec Leak, раскрывающая обширные внутренние материалы китайской компании KnownSec. Документы, включающие технические руководства, организационные схемы и оперативные инструкции, рисуют картину компании не как традиционного поставщика услуг кибербезопасности, а как подрядчика, тесно вовлеченного в наступательную разведывательную деятельность, ориентированную на нужды органов безопасности и военного ведомства Китая.

Ключевые выводы утечки

  • KnownSec действует с набором инструментов и методов, ориентированных на кибершпионаж и постоянный доступ к целевым средам.
  • Центральную роль в деятельности занимает лаборатория безопасности 404, специализирующаяся на исследованиях атак, эксплуатации уязвимостей и методах деанонимизации.
  • В материалах прослеживается иерархическая, близкая к военной, организационная структура, согласующая действия компании с целями государственной безопасности.
  • Компания использует международную цепочку поставок для закупки инфраструктуры за рубежом, что повышает оперативную скрытность операций.

Инструменты и методы: GhostX и Un-Mail

Документация подробно описывает семейство инструментов GhostX. Это комплекс векторов атак, нацеленных на эксплуатацию уязвимостей браузеров и поддержание длительного контроля над целевыми системами. Среди особенностей GhostX — возможности:

  • снятия отпечатков браузера и построения детализированных подписей пользователей для долгосрочного отслеживания;
  • обеспечения persistence и непрерывного контроля над цифровыми идентификационными данными жертв.

Другой ключевой инструмент — Un-Mail, предназначенный для долгосрочного использования веб-почты посредством усовершенствованных тактик перехвата сеансов и внедрения скриптов.

Разведывательная инфраструктура: ZoomEye и TargetDB

Операции KnownSec начинаются с тщательной разведки. В утечке названа платформа ZoomEye — инструмент широкомасштабного Internet-scanning, который каталогизирует устройства и уязвимости по всему миру. Собранные данные агрегируются в хранилище разведывательной информации, известное как TargetDB.

TargetDB выступает как кураторская платформа, организующая структурированные данные о критически важной инфраструктуре по отраслям и регионам. Из материалов видно, что особое внимание уделялось стратегическим секторам в таких странах, как Тайвань, что указывает на целенаправленную оперативную направленность.

Организационная и оперативная модель

Утечка демонстрирует четко выстроенную, многоуровневую структуру, сопоставимую с военной иерархией. В ней выделяются:

  • стратегический уровень планирования;
  • исполнительные подразделения, отвечающие за реализацию операций;
  • R&D-отдел, разрабатывающий технологии;
  • отдел обработки данных, управляющий наборами данных о нарушениях;
  • подразделение военной продукции, создающее инструменты для оборонных ведомств.

В документах содержится также подробная информация о персонале — роли и обязанности сотрудников описаны достаточно конкретно, что указывает на внутреннее разделение задач, нацеленное на выполнение государственных мандатов.

Цепочка поставок и оперативная скрытность

Материалы раскрывают, что KnownSec закупает часть инфраструктуры за пределами Китая. Такая тактика снижает риски attribution и повышает скрытность операций, позволяя компании эксплуатировать внешние ресурсы для тактической поддержки своих кампаний.

Признаки компрометации и методика работы

Утечка содержит конкретные индикаторы и признаки компрометации, включая IP-адреса, направленные против критически важной инфраструктуры. Это подчеркивает методичный, систематический подход к шпионажу, включающий:

  • картацию инфраструктуры целей;
  • агрегацию данных из скомпрометированных источников;
  • использование инструментов для долговременного контроля и деанонимизации.

В материалах особо выделяется «лаборатория безопасности 404», курирующая семейство инструментов GhostX и отвечающая за сложные векторы атак и методы деанонимизации.

Что это значит для международной кибербезопасности

Документация иллюстрирует глубоко интегрированные связи между киберинструментарием KnownSec и стратегическими целями в рамках национальной системы безопасности Китая. Описанная модель демонстрирует, как коммерческие структуры могут выступать в роли подрядчиков для операций, ориентированных на достижение государственных задач в киберпространстве.

Вывод

Утечка KnownSec Leak предоставляет редкий и детализированный взгляд на практики и архитектуру компании, которая фактически функционирует как подрядчик по наступательной разведке. Описанные инструменты, организационная модель и цепочки поставок подчеркивают необходимость пересмотра подходов к защите критической инфраструктуры и усиления механизмов обнаружения сложных, целенаправленных кампаний, опирающихся на долгосрочный контроль и деанонимизацию целей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: