Заброшенный апдейтер Sogou Zhuyin ожил — и превратился в шпионский инструмент
Кибершпионы доказали старую истину: если сервер забросили, значит, его можно подобрать. Именно так произошло с обновлялкой китайского ввода Sogou Zhuyin — популярного IME, который перестал получать апдейты ещё в 2019 году. В октябре 2024 злоумышленники перехватили освободившийся домен sogouzhuyin[.]com и начали «готовить апдейты по-домашнему»: вместе с безобидным софтом пользователи получали целый зоопарк вредоносов — C6DOOR, GTELAM, DESFY и TOSHIS.
По данным Trend Micro, атака получила кодовое имя TAOTH и в первую очередь била по Тайваню (49% заражений), но досталось и Камбодже, США и другим странам Восточной Азии. В зону риска попали журналисты, активисты, исследователи и бизнес-руководители — словом, те, чьи документы и почтовые ящики явно представляют ценность.
Сценарий выглядел «элегантно по-азиатски»: жертва качала официальный инсталлятор Zhuyin с Википедии или форума — и пока программа казалась невинной, апдейтер ZhuyinUp.exe через пару часов тянул конфиг с «нового старого» сервера. Там его уже ждали обновления в стиле «шпион deluxe».
-
TOSHIS — загрузчик, способный притащить Cobalt Strike или агент Mythic. Прячется под видом легитимных библиотек и даже мимикрирует под Xiangoop.
-
DESFY — шпиончик, который сканирует рабочий стол и Program Files, словно уборщица с фонариком.
-
GTELAM — собирает документы Office и PDF, а потом сливает всё добро на Google Drive.
-
C6DOOR — Go-бэкдор с поддержкой HTTP и WebSocket: умеет выполнять команды, красть файлы, делать скриншоты и внедрять шеллкод. Внутри бинарника нашли китайские строки — шеф-повар явно из Поднебесной.
Вишенка на торте: параллельно шли фишинговые атаки. Жертвам подсовывали липовые страницы облачных сервисов или «бесплатные купоны» с OAuth-доступом. Классика жанра: либо скачиваешь ZIP с сюрпризом, либо добровольно отдаёшь свою почту злоумышленнику.
Исследователи отмечают: злоумышленники действовали аккуратно, в основном занимаясь разведкой. В одном кейсе шпион через Visual Studio Code (!) создавал туннель, явно проверяя, стоит ли раскручивать жертву дальше. То есть операция выглядела не как массовый вирусняк, а как прицельная охота за ценными данными.
Вывод прост: брошенное ПО — идеальная приманка. Если в инфраструктуре остались старые апдейтеры и забытые клиенты, их могут превратить в конвейер шпионского софта. В этот раз пользователи Zhuyin получили «апдейт», который скорее напоминал расширенный пакет слежки с бонусом в виде бесплатного доступа к Google Drive… только не к их собственному.
Мораль: если софт давно не обновляется — обновите сами себя и удалите его. Иначе ваш «тихий IME» внезапно окажется переводчиком для чужой разведки.
Берегите себя и свои нервы.
📘 Понравилась статья?
Больше практики и реальных заданий — в Kraken Academy.
А чтобы точно ничего не пропустить — подпишись на наш Telegram-канал.
