Изоставен сървър за актуализации, свързан със софтуера за въвеждане на китайски знаци Sogou Zhuyin, бе превзет от хакери и използван в мащабна шпионска операция. Чрез него са доставяни няколко фамилии зловреден софтуер, сред които C6DOOR и GTELAM, насочени основно към потребители в Източна Азия.

Според изследователи от Trend Micro, атакуващите са използвали усъвършенствани вериги на заразяване – подправени софтуерни актуализации, фалшиви облачни услуги и фалшиви страници за вход – за да разпространяват зловреден код и да събират чувствителни данни. Кампанията, кодово наречена TAOTH, е идентифицирана през юни 2025 г. и засяга журналисти, дисиденти, изследователи и бизнес лидери от Китай, Тайван, Хонконг, Япония, Южна Корея и чуждестранни тайвански общности.

Как работи атаката

През октомври 2024 г. нападателите са регистрирали изтеклия домейн sogouzhuyin[.]com, свързан със Sogou Zhuyin (който е спрял да получава официални актуализации още през 2019 г.), и са започнали да доставят зловредни „актуализации“. Смята се, че стотици потребители са били засегнати.

След инсталиране на официален инсталатор (например от уики страници), злонамерената дейност се задейства автоматично при опит за обновяване. Подмененият процес извлича конфигурационни файлове от компрометиран сървър и зарежда различни малуерни компоненти:

• TOSHIS – зареждащ инструмент, използван за доставка на Cobalt Strike или други агенти;

• DESFY – шпионски софтуер за събиране на файлови имена от Desktop и Program Files;

• GTELAM – насочен към файлове с разширения като PDF, DOCX, XLSX и изпращащ данните към Google Drive;

• C6DOOR – бекдор на Go, способен да изпълнява команди, краде данни, прави скрийншотове и инжектира шелкод.

Атакуващите са използвали и легитимни облачни услуги (например Google Drive), за да прикриват мрежовия трафик и да извършват ексфилтрация на данни.

Фишинг и целенасочени атаки

Освен чрез актуализациите, TAOTH е разпространявал TOSHIS и чрез фишинг кампании, включващи:

• Фалшиви страници за вход с примамки за безплатни купони или PDF четец;

• Имитирани облачни платформи, като Tencent Cloud StreamLink, предлагащи злонамерени архиви.

Имейлите съдържат линкове и подготвени документи, които подлъгват жертвата да даде достъп чрез OAuth или да стартира странично зареждане на DLL, което води до пълна компрометация.

Кои са жертвите

Според данните, 49% от атаките са насочени към Тайван, следван от Камбоджа (11%) и САЩ (7%). Жертви са основно високопрофилни личности – журналисти, учени и опозиционни фигури.

Препоръки за защита

Експертите подчертават, че кампаниите като TAOTH показват високата стойност на атаки чрез изоставени домейни и приложения. Препоръчва се:

• Организациите да премахват навреме софтуер, който вече не се поддържа;

• Да се извършват регулярни одити на мрежата за подозрителни приложения и сървъри;

• Потребителите да проверяват внимателно разрешенията, които предоставят на облачни приложения.

Шпионската операция около Sogou Zhuyin ясно демонстрира как комбинацията от остарял софтуер, социално инженерство и добре прикрити атаки може да застраши цели държави и общности.