Chińska kampania cyberszpiegowska uderza w armie Azji Południowo-Wschodniej. AppleChris i MemFun w centrum operacji

securitybeztabu.pl 2 dni temu

Wprowadzenie do problemu / definicja

Ujawniona w marcu 2026 roku kampania cyberszpiegowska pokazuje, iż organizacje wojskowe w Azji Południowo-Wschodniej pozostają celem długotrwałych i precyzyjnie zaplanowanych operacji APT. Celem ataków nie była masowa kradzież danych, ale pozyskiwanie wyselekcjonowanych informacji o znaczeniu strategicznym, dotyczących struktur wojskowych, zdolności operacyjnych oraz współpracy z partnerami zagranicznymi.

Aktywność przypisano klastrowi oznaczonemu jako CL-STA-1087, który według badaczy wykazuje cechy operacji o charakterze państwowym i chińskim rodowodzie. W kampanii wykorzystano zestaw niestandardowych narzędzi, w tym backdoory AppleChris i MemFun oraz komponent Getpass służący do kradzieży poświadczeń.

W skrócie

Ataki były prowadzone co najmniej od 2020 roku.
Kampania koncentrowała się na celach wojskowych w Azji Południowo-Wschodniej.
Napastnicy używali malware AppleChris i MemFun do utrzymania dostępu i zdalnego sterowania środowiskiem ofiary.
Do pozyskiwania haseł i eskalacji działań wykorzystywano narzędzie Getpass, opisywane jako niestandardowa odmiana Mimikatz.
Infrastruktura C2 była ukrywana z użyciem usług internetowych pełniących rolę resolverów, co utrudniało blokowanie komunikacji.

Kontekst / historia

Z analitycznego punktu widzenia kampania wpisuje się w znany schemat działań prowadzonych przez zaawansowane grupy APT przeciwko podmiotom rządowym i obronnym. Tego typu operacje charakteryzują się cierpliwością, ograniczoną liczbą infekcji, wysoką selektywnością celów oraz koncentracją na danych przydatnych wywiadowczo.

W tym przypadku intruzi mieli interesować się między innymi dokumentacją spotkań oficjalnych, materiałami dotyczącymi wspólnych działań wojskowych oraz informacjami odnoszącymi się do systemów dowodzenia, łączności, informatyki i wywiadu. Utrzymywanie infrastruktury przez wiele lat sugeruje dobrze zorganizowane zaplecze operacyjne oraz stopniową ewolucję używanych narzędzi.

Badacze wskazali, iż część elementów wykorzystywanych do rozwiązywania adresów C2 mogła pozostawać aktywna już od września 2020 roku. To istotny sygnał, iż kampania nie była jednorazową akcją, ale długofalową operacją ukierunkowaną na stałą obecność w wybranych środowiskach.

Analiza techniczna

Punktem wyjścia do wykrycia aktywności była podejrzana egzekucja PowerShell. Skrypt przechodził w stan uśpienia na sześć godzin, a następnie nawiązywał reverse shell do infrastruktury kontrolowanej przez operatorów. Choć początkowy wektor kompromitacji nie został ostatecznie potwierdzony, dalszy przebieg incydentu wskazuje na skuteczne poruszanie się boczne i wdrażanie kolejnych komponentów na stacjach końcowych.

AppleChris pełnił funkcję backdoora zapewniającego trwałość, komunikację z serwerem C2 i zdalne wykonywanie poleceń. Malware był uruchamiany z wykorzystaniem techniki DLL hijacking, czyli przejęcia legalnego mechanizmu ładowania bibliotek w celu wykonania złośliwego kodu pod przykrywką prawidłowej aplikacji. Po aktywacji implant umożliwiał między innymi enumerację dysków i katalogów, przesyłanie oraz usuwanie plików, listowanie procesów, uruchamianie zdalnej powłoki i ciche tworzenie procesów potomnych.

Jednym z kluczowych elementów kampanii był mechanizm dead drop resolver. Zarówno AppleChris, jak i MemFun pobierały aktualny adres serwera C2 z zewnętrznego źródła pośredniczącego, w którym dane były zapisane po zakodowaniu Base64. W części wariantów wykorzystywano również dodatkowe usługi chmurowe jako alternatywne źródło konfiguracji. Takie podejście znacząco utrudnia blokowanie infrastruktury, ponieważ operatorzy mogą zmieniać adekwatne endpointy bez konieczności aktualizacji całego malware.

MemFun reprezentuje bardziej rozbudowaną i modułową architekturę. Łańcuch infekcji obejmuje loader wstrzykujący shellcode, który uruchamia działający w pamięci downloader. Ten z kolei pobiera konfigurację C2, łączy się z serwerem operatora i odbiera bibliotekę DLL zawierającą adekwatny backdoor. Dzięki temu końcowy moduł może być dynamicznie wymieniany lub rozszerzany o nowe funkcje bez przebudowy całego łańcucha wykonania.

Napastnicy stosowali także szereg technik utrudniających analizę i detekcję. Warianty malware wykorzystywały opóźnienia wykonania w celu ominięcia automatycznych sandboxów, działania antyforensic oraz modyfikację znaczników czasu plików, aby upodobnić artefakty do legalnych elementów systemu Windows. W przypadku MemFun złośliwy kod był wstrzykiwany do procesu powiązanego z dllhost.exe z użyciem process hollowing, co dodatkowo maskowało aktywność.

W dalszej fazie operacji używano także narzędzia Getpass. Jego funkcją było podniesienie uprawnień oraz pozyskiwanie poświadczeń z pamięci procesu lsass.exe, w tym haseł w postaci jawnej, skrótów NTLM i innych danych uwierzytelniających. To klasyczny element etapu po eksploatacji, wspierający ruch boczny, utrzymanie dostępu i rozszerzanie zasięgu kompromitacji.

Konsekwencje / ryzyko

Najpoważniejsze ryzyko wynika z profilu ofiar i charakteru zbieranych informacji. W środowiskach wojskowych choćby dokumenty o pozornie administracyjnym znaczeniu mogą pozwolić przeciwnikowi na odtworzenie struktur dowodzenia, zależności organizacyjnych, planów współpracy i poziomu gotowości operacyjnej. Długotrwała obecność atakującego dodatkowo zwiększa prawdopodobieństwo cichej eksfiltracji danych wysokiej wartości.

Z technicznego punktu widzenia kampania pokazuje, iż standardowe mechanizmy obronne mogą być niewystarczające wobec modularnych i dobrze ukrywanych implantów. Dynamiczne rozwiązywanie adresów C2, działanie w pamięci, process hollowing, manipulacja znacznikami czasu oraz opóźniona aktywacja utrudniają wykrycie zarówno przez klasyczne systemy sygnaturowe, jak i część narzędzi behawioralnych.

Dodatkowym zagrożeniem jest użycie modułu do kradzieży poświadczeń. Pozyskane dane uwierzytelniające mogą zostać wykorzystane do przejęcia kolejnych hostów, uzyskania dostępu do systemów administracyjnych oraz trwałego zakotwiczenia się w wielu segmentach sieci.

Rekomendacje

Organizacje z sektora publicznego, obronnego i krytycznego powinny wzmacniać monitoring telemetryczny oparty na zachowaniach, a nie wyłącznie na sygnaturach. Szczególnie istotne jest wykrywanie nietypowych wywołań PowerShell, długich okresów uśpienia procesów, reverse shelli oraz anomalii związanych z ładowaniem bibliotek i aktywnością procesu dllhost.exe.

Monitorować dostęp do pamięci lsass.exe i próby pozyskiwania poświadczeń.
Korelować logi z EDR, DNS, proxy, firewalli i systemów IAM.
Ograniczać ruch boczny poprzez segmentację sieci i zasadę najmniejszych uprawnień.
Wdrażać ochronę poświadczeń oraz kontrolę uprawnień administracyjnych.
Usztywniać środowiska Windows przez hardening PowerShell i kontrolę ładowania bibliotek.
Mapować obserwowane zachowania do technik MITRE ATT&CK, aby rozwijać reguły detekcji i scenariusze threat huntingu.

Dla zespołów blue team najważniejsze będzie również identyfikowanie zewnętrznych usług wykorzystywanych jako pośrednicy do pobierania konfiguracji C2. W praktyce oznacza to potrzebę analizy ruchu wychodzącego nie tylko pod kątem znanych adresów, ale także nietypowych wzorców dostępu do zasobów webowych i chmurowych.

Podsumowanie

Kampania przypisywana klastrowi CL-STA-1087 to przykład dojrzałej operacji cyberszpiegowskiej ukierunkowanej na cele wojskowe i strategiczne. O jej sile decydują wieloletnia ciągłość działania, selektywny dobór informacji, użycie niestandardowego malware oraz rozbudowane mechanizmy unikania detekcji.

Dla obrońców najważniejsze wnioski są jasne: trzeba szybciej wykrywać anomalie po wykonaniu kodu, skuteczniej chronić poświadczenia oraz monitorować aktywność wskazującą na użycie dynamicznie rozwiązywanej infrastruktury C2. W realiach współczesnych operacji APT to właśnie cierpliwość, modularność i precyzja coraz częściej decydują o skuteczności ataku.