Анализ основывался на открытых каталогах, где злоумышленники по ошибке оставили целый массив данных, включая конфигурации серверов управления, журналы команд и даже исходные коды похищенных систем. Эта оплошность позволила в деталях восстановить ход атаки и увидеть, как действовали нападавшие.
По собранным сведениям, речь идёт о китайской группировке, которая минимум в 25 вузах установила стойкое присутствие. Попадание в сети происходило через эксплуатацию уязвимостей веб-приложений, SQL-инъекции и десериализацию в Telerik UI (CVE-2019-18935). Для закрепления использовались веб-шеллы Godzilla и ByPassGodzilla, загруженные на IIS-серверы, а также создание служебных учётных записей с простыми паролями. На скомпрометированных хостах устанавливались Cobalt Strike и VShell, что обеспечивало двойной канал управления и позволяло совмещать разные методы удалённого контроля.
Особый интерес вызвали журналы .bash_history, где сохранились команды операторов: установка китайского языкового пакета, генерация сертификатов, запуск серверов Cobalt Strike и Fast Reverse Proxy, загрузка Metаsploit. Эксперты смогли поднять в контролируемой среде копию Cobalt Strike-сервера и получить доступ к полным спискам жертв, их IP-адресам и логам действий. Всего обнаружено 63 рабочих станции с установленными маяками, при этом первый тестовый был зарегистрирован с китайского IP, что дополнительно указало на происхождение операции.
Для передвижения внутри сетей применялись как штатные утилиты Windows (net, nltest, schtasks), так и специфические китайские инструменты вроде fscan. Фиксировалось использование эксплойтов для локального повышения привилегий, включая CVE-2024-30088 , CVE-2023-28252 , CVE-2020-0796 и другие. В логах нашлось подтверждение применения AppxPotato, GodPotato и JuicyPotato. Кроме того, атакующие изменяли параметры системы для обхода антивирусов: отключали аудит входов, меняли порты RDP, вносили исключения в Defender, останавливали процессы антивируса Bkav и очищали журналы событий.
Отдельное внимание уделялось туннелированию трафика. Использовались FRP и сторонние клиенты для проброса RDP через внешние серверы на нестандартных портах. Обнаружились и кастомные PowerShell-скрипты, выполнявшие перенаправление TCP-сессий. Контроль вёлся через домены, замаскированные под легитимные, такие как micrcs.microsoft-defend[.]club и microsoft-symantec[.]art, работавшие за защитой Cloudflare.
Примечательно, что VShell применялся для развёртывания загрузчика SNOWLIGHT как в Windows-, так и в Linux-средах. Этот модуль, ранее описанный Google и Eclecticiq, обеспечивает установку дополнительных стадий и работает через XOR-шифрование трафика. Его использование в связке с веб-шеллами и плагинами (mimikatz, fscan, gost и другими) позволило злоумышленникам глубоко встроиться в инфраструктуру вузов.
Атрибуция опирается на набор факторов: применение китайских Red Team инструментов Tas9er, характерный стиль комментариев и конфигураций, использование китайских форумов для распространения ПО, а также инфраструктурные следы, ведущие к провайдерам КНР. Методы и выбор жертв совпадают с деятельностью известной группы Earth Lamia, ранее описанной Trend Micro. Целью кампании было не быстрое извлечение выгоды, а длительное присутствие и сбор разведывательной информации о научных и инженерных исследованиях Вьетнама.
Вся картина демонстрирует, что операторы строили целую систему защиты: несколько каналов C2, веб-шеллы, задачи планировщика, туннели и созданные учётные записи. Такой многослойный подход позволял им сохранять контроль даже при частичном удалении следов атаки и осложнял задачу защитникам.