СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
10.10.2025
#Dev#ИБ#ИИ#Инфра

UTA0388: эволюция GOVERSHELL и изощрённые spear‑phishing кампании

UTA0388: эволюция GOVERSHELL и изощрённые spearphishing кампании

Источник: www.volexity.com

Начиная с июня 2025 года злоумышленник UTA0388, предположительно действующий в интересах государства Китай, развернул серию целенаправленных spear phishing-кампаний против организаций в Северной Америке, Азии и Европе. Атаки сочетали в себе многоязычные социально-инженерные приемы и эволюционирующую архитектуру вредоносного ПО, известного как GOVERSHELL, что указывает на скоординированную и долгосрочную оперативную деятельность.

Суть кампании и тактика доставки

Кампании опирались на вводящие в заблуждение HTML-письма, в которых злоумышленники имитировали вымышленных старших исследователей. Получателям предлагалось открыть вложения — по факту изображения, стилизованные под вложения к документам. При нажатии эти изображения инициировали загрузку исполняемого файла из архивов, хранящихся в удаленных ресурсах.

  • Формат атак: spear phishing с HTML-письмами и изображениями, оформленными как вложения.
  • Доставка вредоносного ПО через загруженные архивы — часть файлов служили приманками, другие содержали полезную нагрузку.
  • Многоязычие писем: китайский, французский, японский и др., а также множественная имперсонация вымышленных лиц.

GOVERSHELL: пять вариантов и их поведение

В ходе расследования Volexity выявила пять варианто́в вредоносного ПО GOVERSHELL, каждый из которых обладает отличительными коммуникационными и функциональными особенностями. Практически все варианты (кроме самого раннего) реализованы в виде DLL-файлов и эксплуатируют механизм search order hijacking через легитимное ПО Tablacus Explorer.

  • Первый вариант: проверяет наличие аргумента командной строки; при его отсутствии устанавливает persistence через запланированную задачу и выполняет её каждые 5 минут с помощью системного планировщика задач.
  • Второй вариант: реализует обратную оболочку PowerShell для выполнения команд.
  • Третий вариант: расширяет функционал второго — поддерживает выполнение нескольких встроенных и динамически загружаемых команд.
  • Четвертый вариант: частично реализован и примечателен поддержкой выполнения команд через WebSocket (по данным анализа Volexity — реализовано частично).
  • Пятый вариант: предоставляет расширенные возможности исполнения команд в PowerShell и включает параметры jitter и sleep для маскировки C2‑коммуникаций.

Технические артефакты и инфраструктура

Анализ образцов показал интересные технические детали:

  • Среда разработки некоторых образцов содержала названия папок на упрощённом китайском языке — это указывает на участие нескольких систем в процессе разработки.
  • Коммуникационные механизмы эволюционировали: от прямых IP-адресов к зарегистрированным DNS‑доменам, параллельно менялась и архитектура вредоносного ПО.
  • Для закрепления используется планировщик задач, а для загрузки и выполнения команд — сочетание PowerShell и DLL‑инжектов через манипуляции порядка поиска библиотек.

Социальная инженерия и языковая изощрённость

UTA0388 демонстрирует высокий уровень владения языками и аккуратность в создании лживых личностей. Использование нескольких языков — китайского, французского, японского — и множественных мнимых отправителей делает фишинговые письма более правдоподобными и целенаправленными, что нетипично для массовых фишинговых кампаний.

Связь с LLM и другие находки

Некоторые документы в архивах содержали метаданные, указывающие на использование библиотек, связанных с большими языковыми моделями (LLM). Это может свидетельствовать о применении LLM для генерации контента или помощи в подготовке фишинговых материалов. В архивах одновременно присутствовали файлы-«приманки» и файлы с признаками возможной интеграции LLM.

По данным Volexity, комбинация технических артефактов и языковых следов укрепляет классификацию UTA0388 как стратегического злоумышленника, действующего в интересах государственных структур Китая.

Цели и геополитический контекст

Профиль таргетинга указывает на устойчивый интерес к геополитическим темам, связанным с Тайванем. Выбор целей и содержимое фишинговых документов позволяют предположить, что кампании преследуют разведывательные или политически направленные цели, а не только финансовую выгоду.

Вывод

Действия UTA0388 демонстрируют сочетание продуманной социальной инженерии и технически развитых инструментов: от многоязычных, персонализированных spear phishing-писем до эволюционирующего семейства GOVERSHELL с несколькими сценариями выполнения команд и разнообразными механизмами persistence и C2. Наличие артефактов на упрощённом китайском, переход к доменной инфраструктуре и признаки использования LLM указывают на скоординированную, ресурсно обеспеченную кампанию, вероятно соответствующую интересам государства Китай.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: