WeChat как ловушка: тихая IT-компания оказалась логовом цифровых шпионов

Международная группа Intelligence Online , которая следит за работой спецслужб разных стран, 29 января обнаружила связь между китайской компанией из Чэнду и серией кибератак на уйгуров и тибетцев. Фирма оказалась подрядчиком Министерства общественной безопасности КНР.

На первый взгляд Sichuan Dianke Network Security Technology (UPSEC) со своим филиалом Chengdu Anmo Technology выглядит как обычная технологическая фирма: 150 инженеров, из которых 90% работают над исследованиями и новыми разработками. Компания представляет себя как скромный поставщик услуг для полиции и партнер научных институтов.

Однако за этим фасадом скрывается разработчик мощных инструментов для взлома компьютерных систем. UPSEC, которую создали в 2018 году, тесно связана с хакерской группой Earth Minotaur – как технически, так и через общих сотрудников. Эту группу ранее обнаружили эксперты компании Trend Micro.

В декабре 2024 года Trend Micro выпустила детальный отчет о том, как Earth Minotaur использует набор инструментов MOONSHINE для взлома компьютеров. С его помощью хакеры внедряют в системы бэкдор под названием DarkNimbus. Программа нацелена на пользователей мессенджера WeChat, которые работают на устройствах с Android и Windows, и в первую очередь атакует этнические меньшинства.

DarkNimbus глубоко проникает в зараженные устройства и собирает личные данные. Программа копирует списки контактов, записи звонков, SMS, информацию из буфера обмена, закладки браузера и переписку из разных мессенджеров. Более того, она умеет записывать телефонные разговоры, фотографировать, делать снимки экрана и выполнять любые команды на устройстве.

Исследователи Trend Micro смогли найти IP-адреса жертв в незащищенных журналах сервера, которым пользовалась хакерская группа. Большинство атакованных устройств находились в Китае, но следы вели и в Северную Америку, и в Европу, особенно во Францию. Чтобы заразить устройства за пределами Китая, хакеры использовали фишинговые ссылки, которые вели на страницы с тибетскими и уйгурскими музыкальными клипами.

Intelligence Online удалось связать DarkNimbus с компанией UPSEC через несколько технических зацепок. Изучая IP-адреса, через которые работала вредоносная программа, аналитики вышли на домен "aninfosec[.]cn". Владельцем этого домена оказалась Chengdu Anmo Technology. Эксперты также обнаружили, что DarkNimbus обменивается данными с доменом 'git[.]upsec[.]net', который принадлежит самой UPSEC и ведет на её официальный сайт.

UPSEC не скрывает свои связи с Министерством общественной безопасности и сотнями его подразделений по всему Китаю. Компания занимается как защитой данных, так и наступательными операциями, работая по модели интеграции бизнеса и образования. То есть организации получают доступ к научным разработкам и талантливым студентам, а вузы — к реальным проектам и технологиям. Такое партнерство UPSEC наладила с исследовательским центром технологий общественной безопасности при Университете электронной науки и технологий Китая. Результатом сотрудничества стало создание двух исследовательских площадок — лабораторий безопасности Kongming и Yufeng.

UPSEC расположилась в высокотехнологичной зоне Чэнду, рядом с фирмой Sichuan Silence Information Technology Co. В прошлом месяце эта компания попала под санкции американского Управления по контролю за иностранными активами (OFAC).

Здесь же находится Chengdu 404 Network Technology, которую Минюст США считает причастной к деятельности группы APT41 (также известной под именами Barium, Winnti, Wicked Panda и Double Dragon).

В Чэнду также базируется i-Soon – фирма, которая специализируется на кибератаках и в начале прошлого года пережила утечку данных. Когда журналисты Intelligence Online попытались получить комментарии о результатах расследования, UPSEC проигнорировала все запросы.

Расследование показало, как тесно в Китае переплетены частные технологические компании, научные институты и государственные структуры, которые вместе создают и применяют инструменты для слежки и контроля в киберпространстве.