Китайскоязычный APT-актор CL-STA-1062 использует новый кастомный бэкдор TinyRCT в атаках на государственные организации и критическую инфраструктуру Юго-Восточной Азии. Об этом сообщила Palo Alto Networks Unit 42, а The Hacker News опубликовал детали исследования. Кампания особенно затрагивает государственные предприятия, энергетический сектор и связанные с государством инфраструктурные объекты.

По данным Unit 42, CL-STA-1062 пересекается с UAT-7237 — группой, которую Cisco Talos ранее описывала в контексте атак на веб-инфраструктуру Тайваня. Исследователи также наблюдали более ранние операции CL-STA-1062 против стратегических секторов Восточной Азии начиная с марта 2022 года. Это говорит не о разовой вспышке активности, а о длительной региональной кампании с устойчивым интересом к государственным и инфраструктурным целям.

Технически группа сочетает открытые инструменты и собственные разработки. В её арсенале фигурируют SoftEther VPN, Mimikatz и VNT, но ключевым новым элементом стал TinyRCT — ранее не документированный бэкдор. Он умеет выполнять произвольные команды, перечислять файлы, похищать их, делать снимки экрана и удалять себя с заражённого хоста. Такой набор функций характерен для инструмента, который нужен не для шумной одноразовой атаки, а для разведки, закрепления и выборочной эксфильтрации.

Один из описанных эпизодов относится к сентябрю 2025 года: атакующие проникли в государственную организацию в Юго-Восточной Азии, развернули web shell и использовали его для кражи данных из MS SQL Server. В той же операции они проводили сетевую разведку отдельной госструктуры в той же стране, что указывает на попытку расширить доступ и найти пути lateral movement. Unit 42 также сообщила о выявлении как минимум десяти скомпрометированных организаций в регионе между октябрём и декабрём 2025 года.

С середины 2025 года группа, по данным исследователей, активнее фокусируется на критической инфраструктуре. Злоумышленники сканируют организации на наличие уязвимостей, затем получают точку входа через ASPX web shells и используют заражённые сети для разведки и связи с инфраструктурой управления. В таких сценариях сам факт обнаружения web shell должен рассматриваться не как локальный инцидент на веб-сервере, а как возможный признак более широкой компрометации внутренней сети.

Для защитников этот кейс важен сразу по двум причинам. Во-первых, он показывает, что APT-группы продолжают эффективно совмещать публичные инструменты с узкоспециализированными имплантами. Во-вторых, цели в энергетике и государственных структурах делают такие операции потенциально чувствительными не только для отдельных организаций, но и для национальной инфраструктуры. Минимальный набор мер — мониторинг web shell-активности, контроль необычных VPN-сессий, ограничение доступа к MS SQL Server и проверка хостов на инструменты вроде Mimikatz после любого подозрительного входа.

Источник: The Hacker News, 26 июня 2026