Перед круглой датой — 90-летием Далай-ламы (6 июля 2025) — китайские кибершпионы решили "отметиться" и провести две полноценные операции:
Operation GhostChat и Operation PhantomPrayers, — доклад от Zscaler ThreatLabz.
Всё по классике: подмена сайтов, sideload вредоносов, RAT’ы, трояны и немного околодуховной атмосферы.
Operation GhostChat: хочешь поговорить с Далай-ламой — поговоришь с китайским офицером ГРУППЫ 5.0
Вариант для самых доверчивых: вы заходите на сайт tibetfund[.]org/90thbirthday, а на самом деле попадаете на подделку — thedalailama90.niccenter[.]net.
Фишинговый сайт предлагает вам отправить зашифрованное послание Его Святейшеству, для чего нужно скачать некий TElement — тибетскую альтернативу мессенджеру Element.
На поверку, это не мессенджер, а обёртка с сюрпризом:
- в комплекте идёт Gh0st RAT, старый добрый троян, от которого воняет десятилетием APT-практики;
- через DLL sideload подгружается RAT, а дальше — обычная жизнь под колпаком:
- кейлоггинг,
- включение камеры и микрофона,
- удалённая шелл-сессия,
- полный контроль над машиной.
Плюсом идёт JS на сайте, который аккуратно отправляет вашему новому куратору IP-адрес и user-agent — ну так, чтобы по дороге домой он знал, что вы предпочитаете Firefox с тёмной темой и VPN из Германии.
Operation PhantomPrayers:
Вторая волна — это якобы приложение для "глобального поздравления Далай-ламы", которое вы скачиваете с hhthedalailama90.niccenter[.]net.
Файл называется невинно: DalaiLamaCheckin.exe, запускается с красочной картой мира и просьбой "отметиться и послать добрые мысли".
На самом деле вы посылаете только свой цифровой задник в руки шпионов.
Приложение втихаря запускает PhantomNet — бекдор с возможностью:
- загружать дополнительные плагины,
- управлять временем активности (можно делать вид, что вы спите, пока оно работает),
- AES-шифровка C2-трафика,
- модульность — как LEGO, только для кибершпионажа.
В общем то это и не в первый раз.
Китай давно практикует watering hole-атаки — взлом популярных в целевой среде сайтов и их использование для распространения вредоносов.
Ранее в TibNet уже резвились:
Мишени всё те же: тибетская диаспора, правозащитники, журналисты, монахи, студенты, активисты — все, кто так или иначе связан с культурной или политической жизнью региона.
У них там своя атмосфера, но сама ситуация интересная.
Берегите себя и свои нервы.
📘 Понравилась статья?
Больше практики и реальных заданий — в Kraken Academy.
А чтобы точно ничего не пропустить — подпишись на наш Telegram-канал.
