Supply chain-атака через установщик: троянец GGBond Rat

QiAnXin раскрыла supply chain-атаку через официальный installer для virtual mobile carrier, которая продолжалась с февраля по конец марта 2026 года и затронула государственные и корпоративные endpoint’ы. По данным команды RedDrip Center for Threat Analysis, злоумышленники скомпрометировали installer, превратив его в многоуровневый Trojan loader под названием GGBond Rat.

Как была организована атака

Схема атаки строилась вокруг официального installer’а для virtual mobile carrier. Внутри распространялся self-extracting archive, который содержал одновременно legitimate installer и malicious dropper. Такой подход позволил скрыть вредоносную активность под видом обычного программного пакета и повысить шансы на успешное заражение.

Вредоносный компонент включал DLL library, выполнявшую роль loader’а. Она использовала функцию ProcessFile для расшифровки файла 2385f470.bmp. На первый взгляд файл выглядел как безобидный noise-образ, однако именно в нем был спрятан malicious shellcode. Этот shellcode выступал в качестве дополнительного loader’а и загружал final payload трояна directly into memory.

Компоненты и механика GGBond Rat

После запуска GGBond Rat инициализировал работу через создание mutex с именем Global MerMgrUploadingLockEx и десериализацию информации C2. Далее троян получал возможность удаленного управления зараженной системой.

По оценке QiAnXin, функциональность malware была достаточно широкой и включала:

• установление TCP- и UDP-соединений;
• операции с файлами — чтение, копирование и удаление;
• manipulation of directories;
• управление processes;
• завершение tasks;
• создание processes;
• очистку network connection;
• динамическую настройку состояния C2 connection.

Инфраструктура злоумышленников

Отдельное внимание аналитиков привлек домен command and control (C2), связанный с этой кампанией. Он был размещен на Cloudflare CDN и входил в число 1 million top domains on OpenDNS. Подобная инфраструктура, по мнению исследователей, могла использоваться для маскировки вредоносной активности и затруднения блокировки.

Анализ затронутых sectors показал связь C2 domain с такими направлениями, как:

• education;
• information technology;
• government administration;
• construction;
• finance;
• energy.

Вероятные цели атакующих

По данным QiAnXin, злоумышленники, вероятно, манипулировали cloud phones, полученными через compromise supply chain, используя их как intermediate hosts или для batch control. Среди возможных целей кампании исследователи называют:

• traffic fraud;
• account creation;
• coupon abuse;
• potential spread of confidential information.

Инцидент наглядно демонстрирует, насколько уязвимыми остаются supply chain mechanisms и как легко доверенная цепочка поставки может быть превращена в канал массового заражения.

Обнаружение и выводы

Специалисты QiAnXin отметили, что endpoint security solutions оказались эффективными в обнаружении и нейтрализации GGBond Rat. Это, по их оценке, подтверждает важность proactive defense при противодействии сложным атакам, использующим цепочки поставок в качестве вектора проникновения.

Случай с compromised installer еще раз подчеркивает: даже официальный software package может стать носителем опасной нагрузки, если злоумышленники получают доступ к этапам распространения. Для организаций это означает необходимость постоянного мониторинга supply chain, проверки integrity установочных файлов и усиления контроля за endpoint’ами.