Хакеры опережают новостные сводки

Исследователи зафиксировали новую волну атак, связанную с китайской кибергруппировкой, которая научилась реагировать на мировые события быстрее журналистов. Кампания стартовала в первые же сутки после обострения конфликта на Ближнем Востоке. Злоумышленники моментально адаптировали фишинговые приманки под свежую повестку, сделав ставку на тему ракетных ударов — то, что пользователи бросятся читать, не задумываясь о безопасности.

Цепочка заражения начиналась с безобидного ZIP-архива, внутри которого прятался файл с двойным расширением, маскирующийся под PDF. После открытия система скачивала CHM-файл с удаленного сервера, а затем извлекала поддельный документ на арабском языке с описанием ракетной атаки Ирана на базу США в Бахрейне. Эта красочная «утка» использовалась исключительно для отвлечения внимания жертвы, пока вредоносное ПО делало свое дело.

Настоящей целью атакующих был старый знакомый — бэкдор PlugX. В этот раз его спрятали за многоуровневым шифрованием и запутанными алгоритмами, призванными утомить любого аналитика. Код искажал логику выполнения, маскировал API-вызовы и всячески затруднял анализ. После активации PlugX получал полный контроль над системой через HTTPS и DNS-over-HTTPS, собирал данные, отслеживал файлы и при необходимости загружал дополнительные модули — от кейлоггеров до инструментов удаленного доступа.

Скорость реакции группировки оказалась почти пугающей: пока мировые СМИ только разворачивали корреспондентские сети, хакеры уже рассылали вредоносные вложения. География целей — страны Персидского залива, а методы и ключи шифрования выдали почерк, знакомый по предыдущим кампаниям Mustang Panda. Операторы явно отработали механизм быстрого реагирования на геополитические триггеры.

Mustang Panda в очередной раз доказала: хакеры давно перестали догонять повестку — они теперь работают на опережение. Горячие новости стали не просто фоном, а готовым вектором атаки. В такой реальности любое срочное сообщение из непроверенного источника может оказаться не журналистской сенсацией, а входным билетом для бэкдора. Бдительность — единственный антивирус, который не требует обновлений.