Группировка Earth Ammit, связанная с китайскоязычными APT -структурами, провела две волны целенаправленных атак в 2023-2024 годах. Первая, под названием VENOM, была нацелена на поставщиков программных услуг, а вторая – TIDRONE – фокусировалась на предприятиях оборонной промышленности. Обе кампании использовали атаки на цепочки поставок, при этом в VENOM злоумышленники проникали в верхние уровни экосистемы дронов, а в TIDRONE – вендоров военных и спутниковых решений.
На начальном этапе Earth Ammit предпочитала использовать свободно распространяемые инструменты для минимизации затрат и усложнения отслеживания. Однако в TIDRONE команда перешла к собственным разработкам – бэкдорам CXCLNT и CLNTEND, что позволило реализовать более скрытное и избирательное шпионское ПО.
Атакованные организации базировались в основном в Тайване и Южной Корее. Под угрозу попали поставщики дронов, медиакомпании, технологические и софтверные фирмы, предприятия тяжёлой промышленности, а также компании из спутниковой и медицинской отрасли. Общая стратегия Earth Ammit заключалась в проникновении в доверенные цепочки поставок с целью последующего доступа к более ценным клиентам – конечным организациям.
В ходе расследования кампании TIDRONE в июле 2024 года специалисты выявили совпадения в используемом ERP-софте у нескольких пострадавших организаций. Это позволило выявить более раннюю атаку – VENOM. Все выводы были представлены на конференции Black Hat Asia 2025.
В VENOM использовалась классическая тактика: через уязвимые веб-серверы злоумышленники загружали веб-шеллы, после чего применяли open-source прокси и RAT-инструменты для закрепления в системе. Основной целью было получение NTDS и дальнейшая компрометация систем вниз по цепочке поставок, что стало основой для запуска TIDRONE.
TIDRONE делилась на три этапа. На первом происходила атака через скомпрометированных поставщиков, передача заражённых программ через доверенные каналы. Далее происходило развёртывание бэкдоров, в частности CXCLNT и CLNTEND, с внедрением в системные процессы, обходом UAC и эскалацией привилегий. Последним этапом были действия по извлечению данных – дамп паролей, скриншоты, отключение антивирусов и установка инструментов сбора информации.
Интересной особенностью TIDRONE стало широкое применение fiber-based техник: от SwitchToFiber до FlsAlloc и обработки исключений, что затрудняет анализ и обнаружение. Эти техники появились в том же временном окне, что и доклады по ним на Black Hat USA и Asia, что может указывать на вдохновлённость выступлениями.
CXCLNT действовал полностью из памяти, не оставляя следов на диске, использовал SSL и HTTPS, а также подключал модули с C2-сервера по мере необходимости. CLNTEND, в свою очередь, стал его логическим развитием, получил поддержку семи протоколов (включая WebSocket и SMB) и был реализован как DLL с возможностью работы в режиме клиента или сервера. Он использовал внедрение в dllhost.exe и командную оболочку под winword.exe, что позволяло обходить защиту и выполнять команды незаметно.
Также был обнаружен инструмент ScreenCap – троянец-шпион, встроенный в систему через CLNTEND и отправляющий снимки экрана оператору.
Между кампаниями VENOM и TIDRONE были выявлены два ключевых совпадения: общие жертвы и одинаковая C2-инфраструктура, включая домен с красноречивым названием fuckeveryday[.]life. Это указывает на работу одной и той же группировки. Атрибуция указывает на китайскоязычного оператора. Временные метки файлов и команд соответствуют часовому поясу GMT+8, а сами методы перекликаются с активностью группировки Dalbit, описанной в отчётах AhnLab.
Для защиты от подобных атак организациям рекомендовано внедрение управления рисками третьих сторон, проверка целостности ПО с помощью SBOM , контроль за вызовами API, сегментация систем поставщиков, переход на архитектуру Zero Trust, а также усиление поведенческого мониторинга и EDR -решений.