Специалисты компании ESET раскрыли деятельность малоизвестной, но активной кибергруппировки, связанной с Китаем и получившей обозначение UnsolicitedBooker. По данным отчёта, она нацелилась на международную организацию в Саудовской Аравии, использовав ранее не задокументированный вредоносный инструмент под названием MarsSnake. Первая зафиксированная атака произошла в марте 2023 года, а затем попытки проникновения повторялись как минимум ещё дважды – в 2024 и 2025 годах.
В ходе кампании злоумышленники рассылали фишинговые письма с приманкой в виде авиабилета, якобы от имени авиакомпании Saudia. К письму прикреплялся документ Microsoft Word с VBA-макросом. При открытии документ запускал вредоносный код, который сохранял на систему исполняемый файл под именем “smssdrvhost.exe”. Этот файл выполнял роль загрузчика, активируя MarsSnake – бэкдор, устанавливающий соединение с удалённым сервером по адресу “contact.decenttoy[.]top”.
Содержание письма использовало реальный билет, найденный на платформе Academia, где публикуются научные материалы. Таким образом, злоумышленники выдавали поддельный документ за правдоподобный, подкрепляя атаку социальной инженерией.
Группировка UnsolicitedBooker ранее также использовала такие известные китайские вредоносные программы, как Chinoxy, DeedRAT, Poison Ivy и BeRAT. По методам атаки она пересекается с кластерами Space Pirates и Zardoor. Последний не так давно использовался в атаках на исламскую некоммерческую организацию в Саудовской Аравии.
Согласно отчёту ESET, UnsolicitedBooker активно работает по целям в Азии, Африке и на Ближнем Востоке. Повторные атаки на одну и ту же организацию в течение трёх лет говорят о постоянном интересе к объекту и, вероятно, стратегическом значении жертвы.
Одновременно специалисты зафиксировали активность другой китайской APT -группировки – PerplexedGoblin, также известной как APT31. В декабре 2024 года она атаковала правительственную организацию в Центральной Европе, внедрив шпионский бэкдор NanoSlate.
Кроме того, в фокусе внимания остаётся и группировка DigitalRecyclers, действующая как минимум с 2018 года. Она также ориентирована на правительственные структуры Евросоюза и использует прокси-сеть ORB (операционный ретранслятор KMA VPN), чтобы скрывать сетевой трафик. Среди задействованных вредоносных программ – RClient, HydroRShell и GiftBox. Примечательно, что HydroRShell применяет протоколы Google Protobuf и библиотеку Mbed TLS для общения с C2-сервером.
ESET связывает DigitalRecyclers с другими известными китайскими группами Ke3chang и BackdoorDiplomacy, входящими в условную экосистему APT15. Учитывая спектр используемых инструментов и масштаб кампаний, все упомянутые группировки представляют серьёзную угрозу на международной арене кибер шпионажа .