Група за злонамерена дейност, известна като ShadowSilk, е свързана с нова серия атаки, насочени към правителствени структури в Централна Азия и Азиатско-тихоокеанския регион (APAC).

По данни на Group-IB са идентифицирани  десетки жертви, като основната цел на кампанията е кражба на чувствителна информация. ShadowSilk демонстрира сходства по отношение на инструменти и инфраструктура с вече познати групировки като YoroTrooper, SturgeonPhisher и Silent Lynx.

Засегнати държави и сектори

Атаките обхващат правителствени организации в Узбекистан, Киргизстан, Мианмар, Таджикистан, Пакистан и Туркменистан. Второстепенни мишени са компании от секторите енергетика, производство, търговия и транспорт.

Изследователите Никита Ростовцев и Сергей Търнър посочват, че групата се управлява от двуезичен екип – русскоговорящи разработчици, свързани с кода на YoroTrooper, и китайскоговорящи оператори, които ръководят проникванията. Точният обхват на тяхното сътрудничество остава неясен.

Техника на атака

ShadowSilk използва спиър-фишинг имейли, съдържащи архиви с парола, които инсталират персонализиран зловреден софтуер. Той прикрива комуникацията със сървърите за командване и контрол (C2) зад ботове в Telegram, за да избегне откриване. Устойчивост се постига чрез промени в Windows Registry, позволявайки автоматично стартиране след рестарт.

Хакерите комбинират експлойти за уязвимости в Drupal (CVE-2018-7600/76020) и WordPress плъгина WP-Automatic (CVE-2024-27956) с широк арсенал от инструменти – FOFA, Fscan, Gobuster, Dirsearch, Metasploit и Cobalt Strike. Освен това използват JRAT и Morf Project web панели, закупени от даркнет форуми, както и собствен софтуер за кражба на пароли, съхранени в Chrome.

След компрометиране на мрежата ShadowSilk внедрява уеб шелове (ANTSWORD, Behinder, Godzilla, FinalShell), Sharp-базирани пост-експлоатационни инструменти, както и тунелиращи решения като Resocks и Chisel за странично придвижване и кражба на данни.

Разширени възможности

• Използва се Python-базиран RAT, който получава команди и ексфилтрира данни чрез Telegram, маскирайки трафика като легитимна комуникация.

• Cobalt Strike и Metasploit позволяват заснемане на скрийншотове и дори изображения от уеб камера.

• Специализиран PowerShell скрипт сканира за файлове по разширение, архивира ги и ги изпраща към външен сървър.

• За хостване на зловредни файлове се използват легитимни компрометирани уебсайтове.

Двуезичен отпечатък

Group-IB отбелязва, че част от операторите на YoroTrooper са русскоговорящи и участват в разработването на зловреден код. В същото време доказателства като китайска клавиатурна подредба, автоматичен превод на сайтове на киргизстанското правителство и използването на китайски скенер за уязвимости подсказват участието на китайскоговорящи оператори.

ShadowSilk представлява следваща еволюция на YoroTrooper и свързаните с него групировки, с активност, наблюдавана и през юли 2025 г. Основният им фокус остава върху правителствения сектор в Централна Азия и APAC, което подчертава необходимостта от постоянен мониторинг на инфраструктурата за предотвратяване на дългосрочни компромиси и изтичане на чувствителна информация.