APT31 (Violet Typhoon/Zirconium) prowadzi ciche cyberataki na rosyjski sektor IT. Cloud C2, CloudyLoader i nowe backdoory na celowniku

Wprowadzenie do problemu / definicja kampanii

Chińsko-powiązana grupa APT31 (znana także jako Violet Typhoon/Zirconium/Judgement Panda) została powiązana z długofalową kampanią cyberszpiegowską przeciw rosyjskiemu sektorowi IT. Ataki miały trwać co najmniej w latach 2024–2025, a w jednym przypadku utrzymanie dostępu sięgało końcówki 2022 r. Kluczową cechą operacji jest wykorzystanie popularnych usług chmurowych (w tym Yandex Cloud oraz Microsoft OneDrive) jako kanałów C2 i exfiltracji, co utrudniało detekcję w ruchu „legitnym” dla ofiar.

W skrócie

• Cele: rosyjskie firmy IT – integratorzy i kontraktorzy dla administracji publicznej.
• Taktyki: C2 i staging w usługach chmurowych i… w profilach serwisów społecznościowych; operacje intensyfikowane w weekendy i święta.
• Wejście: phishing z archiwami RAR/ZIP zawierającymi LNK oraz „DLL side-loading” do uruchomienia CloudyLoader (loader Cobalt Strike).
• Nowe narzędzia w arsenale: OneDriveDoor, VtChatter (C2 via VirusTotal comments), COFFProxy (Golang), AufTime (Linux, wolfSSL), YaLeak (exfil do Yandex Cloud), a także LocalPlugX do ruchu bocznego.
• Utrzymanie: harmonogram zadań podszywający się pod legalne aplikacje (np. YandexDisk/Chrome), tunelowanie przez Tailscale i Microsoft Dev Tunnels.

Kontekst / historia / powiązania

APT31 działa co najmniej od 2010 r., a na jej koncie są operacje przeciw instytucjom rządowym, finansom, obronności i high-tech na wielu kontynentach. W 2025 r. grupa była łączona m.in. z incydentami wobec czeskiego MSZ oraz z wcześniejszymi operacjami w Europie. Zestaw aliasów obejmuje m.in. Violet Typhoon (Microsoft), Zirconium, Judgement Panda.

Analiza techniczna / szczegóły kampanii

Wejście (Initial Access).
Udokumentowano spear-phishing z archiwami zawierającymi skróty .LNK. Po uruchomieniu następował łańcuch DLL side-loading bazujący na legalnym pliku BsSndRpt64.exe, który ładował bibliotekę BugSplatRc64.dll z wbudowanym CloudyLoaderem (loader Cobalt Strike). Warianty socjotechniki obejmowały „zapytania zakupowe” oraz przynęty stylizowane na dokumenty ministerstw (np. Peru).

Dowodzenie i kontrola (C2).
Komendy i payloady były „stage’owane” w profilach mediów społecznościowych (lokalnych i zagranicznych), a w komunikacji wykorzystywano powszechne usługi chmurowe (Yandex, Microsoft OneDrive), co maskowało ruch. Wybrane narzędzia:

• OneDriveDoor – backdoor używający OneDrive jako C2;
• VtChatter – narzędzie komunikujące się co 2 godz. przez zakodowane komentarze do pliku na VirusTotal;
• YaLeak – .NET do wysyłki danych do Yandex Cloud.

Ruch boczny i utrzymanie.
Zaobserwowano LocalPlugX (odmiana PlugX do poruszania się wewnątrz sieci), COFFProxy (Golang: tunelowanie/komendy/zarządzanie plikami), AufTime (Linux backdoor z wolfSSL), Tailscale VPN i Microsoft Dev Tunnels do szyfrowanego P2P, a także liczne zadania w Harmonogramie Zadań Windows, których nazwy imitują legalne procesy (np. YandexDisk_Servers, GoogleUpdater). Wykryto też technikę tworzenia ukrytych zadań przez manipulację TaskCache\Tree\ i plikami XML.

Techniki ukrywania (Defense Evasion) i „timing”.
Operacje „pod święta/weekendy” oraz generowanie ruchu do legalnych serwisów utrudniało korelację i triage. Dodatkowo opisywano nietypowe wykorzystanie oobe\Setup.exe /ui do odpalenia łańcucha z własnym ErrorHandler.cmd.

Powiązane obserwacje branżowe.
Niezależne badania Kaspersky z lipca 2025 roku dokumentowały kampanie z Cobalt Strike i hostingiem komend/payloadów na platformach społecznościowych/GitHub, co spójnie wpisuje się w TTPs widoczne u APT31.

Praktyczne konsekwencje / ryzyko

• Detekcja utrudniona: ruch C2/outbound do chmur i popularnych serwisów jest zwykle dozwolony, co obniża skuteczność klasycznych list kontroli, proxy i filtrów reputacyjnych.
• Długotrwałe utrzymanie: potwierdzono przypadki „zagnieżdżenia” od końca 2022 r. i eskalacji aktywności podczas długich przerw świątecznych.
• Różnorodny arsenał: miks living-off-the-land, narzędzi publicznych (SharpChrome, SharpDir) oraz custom backdoorów utrudnia budowę jednego wzorca IOC.

Rekomendacje operacyjne / co zrobić teraz

1. Egress i kontrola chmury
   • Stwórz granularne zasady dla wyjściowego ruchu HTTP(S) do usług: OneDrive, Yandex Cloud, Paste/VT i wybranych social-media. Wymuś tenant allow-list dla Microsoft 365/OneDrive i monitoruj nietypowe identyfikatory aplikacji oraz User-Agent. Loguj i alertuj o transferach nietypowych dla profilu użytkownika/systemu.
2. Hunting na zadania i „DLL side-loading”
   • Cycliczny hunting Scheduled Tasks: nazwy podobne do YandexDisk, GoogleUpdater, Crashpad_Server; sprawdzaj brakujące wpisy SecurityDescriptor w HKLM\...TaskCache\Tree\ vs. fizyczne pliki XML.
   • Szukaj BsSndRpt64.exe uruchamianego spoza domyślnych ścieżek oraz towarzyszących bibliotek BugSplatRc64.dll.
3. Zasady czasu pracy (blue-team ops)
   • Podnieś wrażliwość alertów w weekendy i święta; wprowadź „holiday surge playbooks” (IR on-call, szybsza triage exfilu, czasowe zaostrzenie egressu).
4. EDR/Proxy detections & telemetry
   • Reguły na nietypowe użycie Tailscale, Dev Tunnels, tunelowanie z hostów serwerowych; detekcje na narzędzia SharpADUserIP/SharpChrome/StickyNotesExtract. W proxy: wywołania do znanych end-pointów graph.microsoft.com, api.onedrive.com, storage.yandexcloud.net z hostów, które normalnie tego nie robią.
5. Hardening poczty i stacji roboczych
   • Blokada uruchamiania .LNK z archiwów, polityki „mark of the web”, ASR dla „Office/shortcut LNK child processes”, ograniczenie DLL search order (WDAC/Applocker) dla znanych binariów podatnych na side-loading.
6. Łańcuchy wskaźników i TTP-mapa
   • Zmapuj kontrole do MITRE ATT&CK dla APT31 (T1566.002 Spearphishing Link; T1053.005 Scheduled Task/Job; T1105 Exfil via C2; T1572 Protocol Tunneling itp.) i wdrażaj detekcje oparte na zachowaniu (behavioural).

Różnice / porównania z innymi przypadkami

• Nietypowy wektor geopolityczny: raporty o chińskich operacjach przeciw rosyjskim podmiotom pojawiają się rzadko – ten przypadek potwierdzają niezależnie źródła branżowe.
• C2 na platformach społecznościowych: trend widoczny w szerszym krajobrazie (Kaspersky) – ale u APT31 jest szczególnie przemyślany i łączony z chmurą lokalną (Yandex).

Podsumowanie / najważniejsze wnioski

APT31 kontynuuje ewolucję: łączy „stare” techniki (phishing + Cobalt Strike) z nowymi backdoorami i C2 ukrytym w chmurze/publicznych serwisach. Dla obrońców oznacza to przejście z detekcji opartej na domenach/IP na kontrolę kontekstową i behawioralną (tenant enforcement, model ryzyka dla egressu, hunting na zadania i side-loading). Kampania pokazuje również, iż „okna operacyjne” (weekendy/święta) pozostają skutecznym narzędziem aktorów APT – i wymagają dedykowanych playbooków IR.

Źródła / bibliografia

1. The Hacker News: „China-Linked APT31 Launches Stealthy Cyberattacks on Russian IT Using Cloud Services” (22 listopada 2025). (The Hacker News)
2. Positive Technologies, „Атаки разящей панды: APT31 сегодня” (20 listopada 2025) – raport techniczny. (ptsecurity.com)
3. Kaspersky Securelist, „Cobalt Strike Beacon z dostawą przez GitHub i social media” (30 lipca 2025). (securelist.ru)
4. The Record (Recorded Future News), „China’s APT31 linked to hacks on Russian tech firms” (21 listopada 2025). (The Record from Recorded Future)
5. MITRE ATT&CK: „ZIRCONIUM (APT31) – G0128” (profil grupy i technik). (MITRE ATT&CK)