UNG0002 атакует китайские университеты через фишинговую кампанию

Хакерская группировка UNG0002 провела сложную кампанию целевого фишинга против китайских университетов, используя в качестве приманки контекст National Students Physical Fitness Standards Test 2026. Операция, получившая кодовое название Operation Dragon Whistle, продемонстрировала сочетание социальной инженерии, многоуровневой маскировки и техник уклонения от обнаружения, рассчитанных на обход традиционных средств защиты.

Как была организована атака

По данным отчета, злоумышленники рассылали письма, которые выглядели убедительно благодаря использованию узнаваемого отправителя и поддельного документа-приманки высокого качества. Внутри письма содержался ZIP-архив, в котором был спрятан вредоносный LNK-файл, замаскированный под PDF-документ.

После запуска этот файл инициировал цепочку исполнения, рассчитанную не на мгновенное заражение, а на постепенное раскрытие все более скрытых слоев вредоносного кода. Такой подход позволял усложнить анализ и снизить вероятность раннего обнаружения.

Техническая схема: маскировка в несколько уровней

Первоначальный LNK-файл использовал структуры метаданных macOS, из-за чего системы безопасности могли воспринимать его вложенную структуру каталогов как безвредную. По сути, вредоносный объект был спрятан за четырехуровневой структурой каталогов, где реальные компоненты оставались скрытыми до момента запуска.

• VBScript — использовался как промежуточный этап выполнения;
• DLL-файлы — применялись как часть вредоносной цепочки;
• explorer.exe — легитимный процесс Windows, запущенный для сокрытия активности;
• Bandizip — легитимное приложение, использованное для загрузки вредоносной DLL.

Вместо прямого запуска скрипта LNK-файл вызывал легитимный процесс explorer.exe. Эта техника living off the land позволила атакующим избегать срабатывания защитных решений, ориентированных на прямое исполнение скриптов.

Роль VBScript и DLL

Критическим этапом атаки стал VBScript. Он открывал поддельный PDF-файл, чтобы отвлечь жертву, и одновременно запускал Bandizip для загрузки вредоносной DLL.

Эта DLL выполняла расширенные проверки окружения, определяя, возможно ли продолжение атаки без обнаружения. В ходе анализа было установлено, что она завершала процессы инструментов безопасности и отладки, а также использовала продвинутые методы обхода защитных механизмов, включая AMSI и ETW.

Финальный полезный груз — Cobalt Strike Beacon — выполнялся полностью в памяти. Такой подход значительно усложняет последующий forensic analysis, поскольку вредоносный код не всегда оставляет традиционные следы на диске.

Инфраструктура и атрибуция

Инфраструктура кампании указывает на локализованный подход. Сервер управления был размещен на AliCloud, а регистрация домена демонстрировала глубокое понимание китайского сегмента интернета.

Именно сочетание инфраструктурных признаков и техники, аналогичной предыдущим операциям UNG0002, позволило исследователям подтвердить атрибуцию атаки к этой же группировке.

Что рекомендуют специалистам по безопасности

Отчет подчеркивает, что целевым учреждениям следует уделить особое внимание проверке писем и вложений, даже если они поступают от доверенных источников.

Ключевые меры защиты включают:

• внедрение надежных решений EDR, способных выявлять угрозы, работающие в памяти;
• строгий контроль выполнения скриптов;
• обучение сотрудников распознаванию признаков phishing;
• регулярную отработку сценариев реагирования на целевые атаки.

Как показывает Operation Dragon Whistle, современные фишинговые кампании против образовательных организаций опираются не только на обман пользователей, но и на многоуровневую техническую маскировку. Именно поэтому устойчивость к таким атакам требует сочетания технологической защиты и подготовленности персонала.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.