Из разведки в рэкет: правительственные хакеры пробуют вкус легких денег

Специалисты Symantec сообщают , что китайская группировка Emperor Dragonfly использовала инструменты, ранее приписываемые шпионам, для атаки с использованием программы-вымогателя. Атака была зафиксирована в конце 2024 года, когда злоумышленники развернули вымогательское ПО RA World против азиатской IT-компании.

Emperor Dragonfly (Bronze Starlight) ранее была связана с кибер шпионажем , но теперь деятельность группы пересекается с группировками, использующими вымогательское ПО. Впервые о связи группы с RA World сообщалось в июле 2024 года, но тогда уверенность в связи была низкой. Специалисты утверждают, что RA World является ответвлением RA Group — семейства, появившегося в 2023 году на основе утекшего кода Babuk .

В июле неизвестная группировка атаковала МИД одной из стран Юго-Восточной Европы, применив метод DLL Sideloading в связке с легитимным исполняемым файлом Toshiba. Механизм использовался для загрузки зашифрованного исполняемого модуля PlugX (Korplug), который обычно приписывается только китайским хакерам .

В августе 2024 года была зафиксирована атака на правительственные структуры еще одной страны Юго-Восточной Европы, а затем — на министерство в Юго-Восточной Азии. В сентябре злоумышленники кратковременно взломали телекоммуникационную компанию в регионе, а в январе 2025 года атаковали министерство в другой стране Юго-Восточной Азии.

На фоне кибершпионской активности в ноябре 2024 года хакеры провели вымогательскую атаку против IT-компании в Южной Азии. Предположительно, проникновение в сеть компании произошло через эксплойт CVE-2024-0012 в Palo Alto PAN-OS. После получения доступа хакеры похитили учетные данные Amazon S3, а затем зашифровали машины в сети жертвы с использованием программы-вымогателя RA World.

Хакеры требовали выкуп в размере $2 млн, предлагая снизить сумму до $1 млн при быстрой оплате. В атаке также использовалась комбинация DLL-библиотеки Toshiba с PlugX, что подчеркивает связь с предыдущими шпионскими операциями.

Существует несколько гипотез о том, почему группировка, связанная с кибершпионажем, использовала методы киберпреступников. Некоторые специалисты полагают, что атака могла быть направлена на сокрытие следов деятельности или отвлечение внимания. Однако несоответствие целей атаки и активные переговоры с жертвой по поводу выкупа говорят о серьезных намерениях злоумышленников.

Другая версия предполагает, что один из участников группы, обладая доступом к закрытому арсеналу инструментов, решил использовать их в личных целях, чтобы заработать на шифровальщике. Подобная практика характерна для северокорейских группировок, но для китайских кибершпионов это необычное явление.

На основании выявленных данных исследователи допускают, что хакеры, выполняющие кибершпионаж в интересах государства, могут параллельно участвовать в преступной деятельности для личной выгоды.