Группа угроз UNG0002 представляет собой высокотехнологичный и стойкий кибершпионский коллектив, нацеленный на ключевые секторы в Китае, Гонконге и Пакистане. Действия этого объединения начали привлекать повышенное внимание экспертов безопасности начиная с мая 2024 года. Их операции демонстрируют не только продвинутый уровень технических возможностей, но и высокий уровень адаптивности к изменениям в области защиты информации. Основные кампании группы получили названия Operation Cobalt Whisper и Operation AmberMist, каждая из которых имеет свой уникальный способ проникновения и распространения вредоносного кода среди цельевых организаций. UNG0002 использует хитроумные методы доставки вредоносных программ, включая файл-ссылки LNK, скрипты VBScript и мощные инструменты постэксплуатации, такие как Cobalt Strike и Metasploit.
Интересной особенностью является применение тематических приманок — поддельных документов, связанных с резюме (Curriculum Vitae), вызывающих доверие у получателей и способствующих успешному запуску вредоносных элементов. Методика таргетирования и специально разработанные приманки свидетельствуют о том, что цель атак — хищение исследовательских данных и интеллектуальной собственности. Первая крупная кампания, Operation Cobalt Whisper, проходившая с мая по сентябрь 2024 года, характеризуется использованием ZIP-архивов, распространяемых через хищнические письма с таргетированными сообщениями. Внутри таких архивов находятся LNK-файлы и Visual Basic скрипты, которые запускают на компьютерах жертв загрузку Cobalt Strike-биконов — инструментов для постэксплуатации. Эта кампания в основном затронула различные отрасли, включая оборону, энергетику, медицинский сектор, высшее образование и развитие программного обеспечения.
Специалисты считают, что эти атаки направлены на получение доступа к закрытым данным и стратегически важной информации. Последующая кампания под названием Operation AmberMist продолжалась с января по май 2025 года и расширила арсенал угроз. Здесь UNG0002 активно применял LNK-файлы, замаскированные под резюме и CV, что позволяло осуществлять многоэтапный процесс заражения. Итогом этого процесса стало развертывание нескольких видов удаленно управляемых троянов (RAT), включая INET RAT и загрузчик Blister DLL. Использование LNK-файлов в обеих кампаниях свидетельствует о предпочтении группы применять проверенные методы социального инжиниринга для обхода систем безопасности.
Дополнительно зафиксированы альтернативные методы атак, направленные на пользователей в Пакистане. Так, в январе 2025 года был выявлен новый вектор заражения — злоумышленники создавали поддельные сайты, имитирующие официальный портал Министерства морских дел Пакистана (MoMA). Через эти сайты жертвы попадали на фальшивые CAPTCHA-страницы, внутри которых использовалась техника ClickFix для запуска команд PowerShell. Эта стратегия позволяла запускать Shadow RAT через DLL side-loading — механизм, при котором вредоносные DLL-загрузчики заменяют или дополняют легитимные библиотеки, что позволяет скрытно выполнять вредоносный код. Shadow RAT, используемый группой, обеспечивает удалённый доступ к заражённому устройству и возможность выполнять команды злоумышленников, включая сбор данных и контроль над системой.
INET RAT, по аналитическому мнению, является модифицированной версией Shadow RAT с добавленными функциональными возможностями. Blister DLL loader выполняет роль загрузчика кода низкого уровня, что впоследствии позволяет установить обратное соединение для получения последующих инструкций и команд. Такой набор инструментов позволяет группе эффективно внедряться в системы и сохранять длительный доступ без обнаружения. Определить точное происхождение группы UNG0002 сложно, однако эксперты склоняются к тому, что это кибершпионская организация, базирующаяся в Юго-Восточной Азии. Такой региональный вектор наталкивается на особенности применяемых тактик, а также на целевые объекты атак, коими стали страны региона.
Столь масштабные и длительные операции демонстрируют стратегическую направленность на сбор разведывательных данных и технологических секретов. UNG0002 отличается высоким уровнем профессионализма и технической изощрённости, успешно обходя традиционные системы защиты и создавая новые методы компрометации. Постоянное развитие используемого программного обеспечения и тактик свидетельствует о том, что группа является серьезным вызовом для служб кибербезопасности в регионе и за его пределами. Среди затронутых отраслей — оборонная промышленность, энергетика, медико-фармацевтическая сфера и академические учреждения, что говорит о приоритетах злоумышленников в достижении стратегических целей. В свете этих событий организациям, работающим в указанных регионах, требуется пересмотреть свои меры безопасности и включить дополнительные уровни защиты против атак, основанных на LNK-файлах и RAT-программах.
Особое внимание необходимо уделить обучению сотрудников распознаванию фишинговых сообщений и подозрительных вложений. Использование передовых систем обнаружения аномалий, мониторинг сетевой активности и применение многофакторной аутентификации окажутся ключевыми элементами в противодействии подобным угрозам. Современные атаки UNG0002 показывают, что киберпреступные организации неизменно эволюционируют, быстро адаптируясь к изменениям в технологиях и методах защиты. Информационные системы организаций должны быть готовы к работе в условиях постоянно меняющегося ландшафта угроз и быть оснащены аналитическими инструментами для своевременного выявления и блокировки вредоносных операций. Вызовы, связанные с деятельностью группы UNG0002, подчёркивают важность международного сотрудничества в области кибербезопасности, обмена информацией и выработки совместных стандартов защиты критически важных инфраструктур.
Глобальное взаимодействие и координация усилий помогут минимизировать последствия сложных атак и сохранить безопасность и устойчивость цифровых экосистем в регионе и мире в целом. UNG0002 продолжает оставаться одним из наиболее опасных игроков в сфере кибершпионажа, направленных на азиатский регион. Мониторинг их активности и анализ тенденций атаки остаются ключевыми элементами безопасности для предприятий и государственных ведомств. Только постоянное совершенствование технологий защиты и повышение грамотности пользователей помогут снизить риски успешных компрометаций и сохранить информационную безопасность на должном уровне.
