СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Артем
04.07.2025
#Dev#ИБ#ИИ#Инфра

QiAnXin: новая APT-группа NightEagle атакует китайские технологии с высокой скрытностью и использует инфраструктуру DigitalOcean и Akamai

QiAnXin: новая APT-группа NightEagle атакует китайские технологии с высокой скрытностью и использует инфраструктуру DigitalOcean и Akamai

Изображение: recraft

Компания QiAnXin опубликовала технический отчёт, в котором описаны действия ранее неизвестной хак-группы NightEagle (APT-Q-95). По ряду признаков, в том числе по временным меткам активности, исследователи предполагают, что её операторы могут находиться в Северной Америке, возможно — на западном побережье США или Канады. Отмечается и высокий уровень организации атак — от ресурсов и инфраструктуры до тактик сокрытия следов.

Группировка использовала неизвестную уязвимость в Microsoft Exchange, с помощью которой получала доступ к ключу machineKey и, как следствие, могла внедрять бесфайловый вредоносный код для перехвата всей почтовой корреспонденции на сервере. После выполнения задач этот код удалялся, оставляя минимум следов. В отчёте QiAnXin указано, что получить сэмплы не удалось, но были изучены DLL-файлы, созданные злоумышленниками, — их имена содержали обозначения вроде «cn» и «zh», что, по мнению аналитиков, указывает на фокус атак на китайские цели.

Для связи с командными серверами применялся модифицированный инструмент Chisel. В отдельных случаях в отчёте упоминается и использование утилиты reGeorg. Доступ к внешней инфраструктуре настраивался гибко: во время обычной работы домены резолвились в заглушки, но при активации управления — в IP-адреса от хостинг-провайдеров DigitalOcean, Akamai и The Constant Company. Каждый заражённый сервер получал уникальный домен, зачастую оформленный под популярные бренды, включая WeChat или ComfyUI.

Согласно документу, атаки были направлены на высокотехнологичные китайские организации — компании и исследовательские институты, работающие в сферах квантовых вычислений, ИИ, производства полупроводников и оборонной промышленности. Хотя основным зафиксированным действием было перехватывание почты, QiAnXin отмечает, что в ряде случаев наблюдались попытки расширить доступ к исходному коду и внутренним хранилищам данных.

Для выявления следов присутствия NightEagle была разработана специальная утилита, доступная в открытом доступе. Также проверочные инструменты выпустила компания Qihoo 360, указав, что наблюдает активность другой схожей группы — APT-C-78, также ориентированной на атаки на Exchange-серверы, хотя формального отчёта от неё пока не опубликовано.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: