Проверьте ваш %APPDATA% прямо сейчас — там может скрываться китайская шпионская сеть

Кибероперация против военной компании на Филиппинах привела к раскрытию новой сложной вредоносной инфраструктуры, получившей название EggStreme. Исследование Bitdefender показало, что за атакой стоит китайская группа, действующая в интересах долгосрочного шпионажа. Учитывая стратегическое значение региона Южно-Китайского моря, выбранная цель и методы полностью укладываются в картину активности китайских APT .

В основе атаки оказался многоэтапный фреймворк, полностью работающий в памяти и потому крайне труднообнаруживаемый. Его ядро — EggStremeAgent — многофункциональный бэкдор с поддержкой 58 команд. Он обеспечивает разведку локальной и сетевой инфраструктуры, исполнение произвольного кода, перемещение по сети, кражу данных и внедрение дополнительных модулей. Среди последних выделяется EggStremeKeylogger, встроенный в процессы explorer.exe для перехвата нажатий клавиш и содержимого буфера обмена. Ещё один компонент, EggStremeWizard, представляет собой облегчённый резервный бэкдор, обеспечивающий доступ даже при удалении основного агента.

Первоначальный запуск вредоносного кода был реализован через DLL sideloading . В директорию %APPDATA%MicrosoftWindowsWindows Mail помещались легитимный исполняемый файл WinMail.exe и вредоносная библиотека mscorsvc.dll. При запуске под видом доверенного процесса загружался первый этап — EggStremeFuel. Он собирал сведения о системе, открывал обратную оболочку через cmd.exe и настраивал канал связи с C2-сервером.

Для закрепления злоумышленники использовали отключённые сервисы Windows, подменяя их бинарники или меняя параметры в реестре, при этом наделяя процессы правами SeDebugPrivilege для доступа к памяти других приложений. Следующим звеном цепочки становился EggStremeLoader, извлекавший зашифрованные полезные нагрузки из специально подготовленного файла ielowutil.exe.mui и внедрявший их в системные процессы. Дальнейший запуск шёл через EggStremeReflectiveLoader, который поднимал новый процесс winlogon.exe или explorer.exe и внедрял в него основной агент.

EggStremeAgent строит зашифрованное взаимодействие с C2-серверами с использованием gRPC и mTLS. Конфигурация хранится в виде зашифрованного файла Vault.dat, а сертификаты выдаются собственным центром сертификации злоумышленников, что позволяет унифицировать всю инфраструктуру. Каждая машина получает уникальный идентификатор, а вся связь идёт по защищённым каналам.

В арсенале команды управления присутствуют функции для сбора системной информации, управления файлами и каталогами, снятия скриншотов, работы с реестром, сетевых сканирований, запуска удалённых процессов и внедрения кода вплоть до инъекции LSASS. Набор инструментов также позволяет проводить персистентность через создание новых сервисов на удалённых машинах и использование планировщика задач.

Отдельное внимание заслуживает кейлоггер EggStremeKeylogger. Он хранится в файле splwow64.exe.mui в зашифрованном виде и активируется только при входе пользователя. После расшифровки внедряется в explorer.exe, создаёт скрытое окно и начинает сохранять данные в файл thumbcache.dat, применяя шифрование RC4. Лог содержит нажатия клавиш, активные окна, системное время, сетевую конфигурацию и содержимое буфера обмена, включая файлы. Такой подход обеспечивает полный контроль над пользовательской активностью.

Для внутреннего перемещения в сети использовался сторонний прокси-инструмент Stowaway, скомпилированный на Go и способный обходить сегментацию сети. Благодаря этому злоумышленники получали возможность направлять трафик и исполнять команды внутри инфраструктуры без установки дополнительных агентов на каждую машину.

Форензика выявила целостность разработки — все компоненты используют одинаковые методы: DLL sideloading, RC4/XOR-шифрование, работу исключительно в памяти. Это указывает на единую команду разработчиков и хорошо отлаженный процесс. В совокупности EggStreme демонстрирует современный подход, в котором вредонос не выглядит как набор отдельных троянов, а действует как согласованный многоуровневый комплекс.

Исследователи отмечают, что для защиты от подобных атак недостаточно классических антивирусов. Необходима многоуровневая стратегия: ограничение использования системных утилит (LOLBins), жёсткая настройка сервисов, мониторинг поведения процессов и событий корреляционного уровня, а также развитые средства EDR/XDR для обнаружения сложных цепочек. Только комплексные меры способны выявить столь скрытные операции.