В Юго-Восточной Азии тихо отработал почерк, который любой red teamer оценит по достоинству. За один квартал, с октября по декабрь 2025-го, как минимум десять организаций – правительственные структуры и государственные энергетические компании – получили в сеть кастомный бэкдор, замаскированный под телеметрию Microsoft Visual Studio. За кампанией стоит китаеязычный кластер CL-STA-1062, активный ещё с марта 2022 года и пересекающийся по TTP с UAT-7237. Инструмент – ранее недокументированный .NET-бэкдор TinyRCT, и интересен он не функционалом (он как раз минималистичен), а тем, как аккуратно его занесли и спрятали.
Главный нерв операции не в малвари. Он в дисциплине маскировки: ни одного экзотического эксплойта, ни одного шумного дроппера – только живущий-с-земли инструментарий, переименованный под легитимные процессы, и бэкдор с именем PerfWatson2.exe, на которое не глянет ни один уставший SOC-аналитик.
Эта статья доступна только подписчикам. Оформите подписку, чтобы получить доступ ко всем премиум статьям.
Оформить подписку →Автор: hacker@shifry.local