Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Cybernews
  3. Artykuł
Powrót

Chińscy hakerzy przejmują portale w atakach na dyplomatów

28 sierpień 2025

Chińscy hakerzy przejmują portale w atakach na dyplomatów
Leszczak Katarzyna

Leszczak Katarzyna

Zespół badawczy Google potwierdził nową kampanię chińskiej grupy Silk Typhoon, w której cyberprzestępcy podszywali się pod strony logowania i aktualizacje oprogramowania, aby infekować systemy dyplomatów złośliwym oprogramowaniem.  

Dobroczynnie NTHW

Przejęcie ruchu i fałszywe aktualizacje

Hakerzy powiązani z Silk Typhoon zastosowali zaawansowaną technikę adversary-in-the-middle (AitM), pozwalającą im przejąć ruch internetowy ofiar. Atak rozpoczynał się od momentu, gdy przeglądarka Chrome sprawdzała, czy użytkownik znajduje się za portalem przechwytującym. Zamiast prawidłowej strony, dyplomaci trafiali na spreparowaną witrynę, która podszywała się pod serwis instalacyjny Adobe. Na stronie pojawiała się sugestia pobrania pliku „AdobePlugins.exe”, rzekomo wymaganego do kontynuacji pracy. Aby uśpić czujność użytkowników, hakerzy przygotowali szczegółowe instrukcje pozwalające ominąć monity zabezpieczeń systemu Windows. W tle instalator Visual C++ pobierał dodatkowy pakiet MSI zawierający legalne narzędzie Canon oraz zainfekowaną bibliotekę DLL, która uruchamiała backdoora SOGU.SEC. To złośliwe oprogramowanie, będące odmianą znanego PlugX, pozwalało atakującym zbierać dane o systemie, przesyłać pliki, a także uzyskać pełną zdalną kontrolę nad urządzeniem ofiary.

Dowody prowadzą do Silk Typhoon

Google Threat Intelligence Group przypisało kampanię klastrowi UNC6384, który na podstawie infrastruktury i używanych narzędzi łączony jest z chińskim ugrupowaniem TEMP.Hex, znanym również jako Mustang Panda czy Silk Typhoon. Badacze podkreślają, że od początku 2023 roku odnotowano co najmniej 25 przypadków podpisywania złośliwego kodu certyfikatami wystawionymi przez firmę Chengdu Nuoxin Times Technology. Nie wiadomo, czy przedsiębiorstwo współpracuje świadomie, czy jego certyfikaty zostały skradzione, ale dla bezpieczeństwa zaleca się traktowanie ich jako niegodnych zaufania. Google zablokowało domeny używane w kampanii, a także wydało ostrzeżenia dla użytkowników Gmaila i Workspace narażonych na atak. Udostępniono także reguły YARA oraz wskaźniki kompromitacji, które mają pomóc organizacjom wykryć infekcję. Eksperci zwracają uwagę, że działalność Silk Typhoon pokazuje, jak bardzo rozwinęły się metody chińskich grup cyberszpiegowskich. Wykorzystanie legalnych komponentów oprogramowania i fałszywych certyfikatów sprawia, że ataki są trudniejsze do wykrycia, a kampanie mogą być kontynuowane w nowych wariantach niemal natychmiast po ich ujawnieniu.

Ustawa Kamilka

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności