Bitdefender разкрива мащабна кампания на FamousSparrow срещу стратегическия енергиен сектор в Южен Кавказ

Ново разследване на Bitdefender разкри детайли за продължителна кибершпионска операция срещу азербайджанска компания от нефтения и газовия сектор. Кампанията е продължила от края на декември 2025 г. до февруари 2026 г. и е приписана с умерена до висока степен на увереност на свързаната с Китай APT група FamousSparrow.

Според изследователите операцията бележи разширяване на китайската киберактивност към енергийния сектор в Южен Кавказ – геополитически чувствителен регион между Иран, Турция и Русия, чиято роля за европейската енергийна сигурност значително нарасна през последните години.

Усъвършенствано DLL sideloading укрива Deed RAT

Атакуващите са използвали еволюирала техника за DLL sideloading, предназначена да избегне засичане от sandbox среди и автоматизирани системи за анализ. Вместо стандартна подмяна на DLL файл, зловредният код е модифицирал две специфични export функции в библиотеката, създавайки двустепенен механизъм за активиране.

Този подход позволява зареждането на malware-а Deed RAT единствено при изпълнение на легитимна последователност от вътрешни извиквания в хост приложението. По този начин зловредният код остава практически невидим за повърхностен анализ и автоматизирани sandbox системи.

Изследователите подчертават, че malware-ът не използва традиционни anti-analysis техники като проверка за виртуални машини, дебъгери или подозрителни процеси. Вместо това той валидира средата индиректно, като се активира само при естествения workflow на легитимното приложение.

Три вълни на атака и постоянна повторна компрометация

Операцията е проведена на три отделни етапа, при които нападателите са използвали две различни backdoor семейства – Deed RAT и Terndoor.

Особено тревожен е фактът, че групата многократно е възстановявала достъпа си чрез един и същ уязвим Microsoft Exchange Server, въпреки предприетите действия по remediation. Това показва висока оперативна дисциплина и дългосрочна шпионска стратегия, а не еднократна опортюнистична атака.

Според анализа първоначалното проникване вероятно е осъществено чрез добре познатите уязвимости ProxyShell и ProxyNotShell, които продължават да се експлоатират активно години след публичното им разкриване.

Латерално придвижване и компрометиране на домейн инфраструктура

След установяване на първоначално присъствие, атакуващите са разширили достъпа си в мрежата чрез:

• Remote Desktop Protocol (RDP)
• домейн администраторски акаунти
• интерактивни PowerShell сесии
• SMB remote execution
• инструменти от екосистемата на Impacket

Сред използваните инструменти са идентифицирани atexec и smbexec, използвани за разпространение към допълнителни системи чрез Windows administrative shares.

Изследователите отбелязват, че наличието на domain administrator credentials още в ранните етапи подсказва сериозен компромис на инфраструктурата и вероятно предварително извличане на чувствителни идентификационни данни.

Южен Кавказ се превръща в нова цел за китайски кибершпионаж

Според Bitdefender атаката е показателна за промяна в геополитическия фокус на китайските APT операции. Докато руските шпионски кампании традиционно са доминирали в региона, китайски групи вече насочват вниманието си към критична енергийна инфраструктура в Южен Кавказ.

Азербайджан придоби още по-голямо стратегическо значение за европейските енергийни доставки след:

• изтичането на руско-украинското газово транзитно споразумение през 2024 г.
• сътресенията около Ормузкия проток през 2026 г.
• засилените усилия на Европа за диверсификация на енергийните източници

Това превръща енергийния сектор в региона в приоритетна цел за държавно подкрепяни разузнавателни операции.

Deed RAT показва сериозна еволюция

Разследването документира и значително развитие в toolchain-а на Deed RAT. Анализаторите откриват:

• нови magic values
• преминаване от Snappy към Deflate компресия
• усъвършенстван loader механизъм
• модифицирани конфигурации
• нова C2 инфраструктура

В последната фаза malware-ът е комуникирал със сървъра sentinelonepro[.]com през HTTPS на порт 443, а всички компоненти са били преместени в директорията C:\Recovery.

Допълнително е установена връзка с екосистемата на Earth Estries, което подсилва атрибуцията към китайски APT структури.

Защо традиционната защита не е достатъчна

Според експертите signature-based защитата става все по-неефективна срещу подобни операции. Комбинацията от fileless execution, DLL sideloading и легитимни execution вериги значително затруднява откриването.

Изследователите препоръчват организациите да внедрят:

• runtime behavioral monitoring
• kernel-level API hooking detection
• мониторинг на необичайни RDP сесии
• засичане на Impacket инструменти
• сегментация на Exchange инфраструктурата
• незабавна ротация на компрометирани администраторски акаунти

Особено внимание трябва да се обърне на интернет-достъпните Microsoft Exchange Server инстанции, които продължават да бъдат една от най-експлоатираните входни точки за APT групи.

Дългосрочна шпионска операция, а не единичен пробив

В заключение от Bitdefender подчертават, че този инцидент не трябва да се разглежда като изолиран breach, а като адаптивна и дългосрочна кибершпионска кампания.

Многократното повторно проникване, смяната на malware фамилии и изграждането на резервни точки за достъп показват високо ниво на оперативна зрялост. Случаят е поредното доказателство, че модерните APT операции вече се фокусират върху устойчиво присъствие в инфраструктурата на жертвата, а не върху бързи и шумни атаки.