Китайські хакери, пов’язані з державою, розгорнули кампанію з використанням PlugX та Bookworm, націлену на телеком та виробництво в Центральній та Південній Азії, включаючи ASEAN.

Cisco Talos виявила нову версію PlugX з подібностями до RainyDay та Turian: DLL side-loading через легітимні додатки, шифрування XOR-RC4-RtlDecompressBuffer. Конфігурація нагадує RainyDay від Lotus Panda (Naikon APT), відомої як FoundCore. PlugX – модульний RAT, використовуваний Mustang Panda для шпигунства. Turian – для Близького Сходу від BackdoorDiplomacy.

Аналіз жертв показує фокус на телеком, вказуючи на зв’язок груп, можливо спільних розробників. Naikon атакувала Казахстан, BackdoorDiplomacy – Узбекистан. Атаки: легітимний Mobile Popup Application завантажує шкідливу DLL, розшифровує навантаження. Останні версії з ключ-логером. Unit 42 деталізувала Bookworm від Mustang Panda з 2015: модульний бекдор для команд, файлів, даних, стійкого доступу. Атаки на ASEAN: легітимні домени для C2, shellcode як UUID для виконання, DLL side-loading ускладнює аналіз. Еволюція китайського шпіонажу для регіональних цілей: моніторинг комунікацій, промислових секретів. Імплікації: загроза інфраструктурі, економічне шпигунство, геополітичний вплив.

Рекомендації: моніторинг трафіку, оновлення проти side-loading, аналіз логів на аномалії, сегментація мереж. Аудити на інструменти в телеком/виробництві, бо затримка призводить до компрометацій. Тенденція вимагає міжнародної співпраці проти державних загроз, де інструменти адаптуються для обходу захисту.