Китайские хакеры использовали троянизированное приложение UyghurEditPP для атак на уйгурских активистов

Исследователи Citizen Lab обнаружили, что хакеры, связанные с Китаем, атаковали уйгурских активистов, используя троянизированное приложение UyghurEditPP в ходе фишинговой кампании.

Citizen Lab раскрывает целевую фишинговую кампанию , направленную на уйгурских активистов , развертывающую вредоносное ПО для слежки, замаскированное под законный инструмент для изучения уйгурского языка. Узнайте о методах атаки и предполагаемом участии китайского правительства.

В марте 2025 года несколько ведущих деятелей Всемирного уйгурского конгресса (WUC), международной организации со штаб-квартирой в Мюнхене, выступающей за права уйгурского народа, стали объектами тщательно спланированной попытки кибершпионажа.

Исследователи из Citizen Lab при Университете Торонто сообщают , что эти лица получили предупреждения от Google, в которых говорилось, что их онлайн-аккаунты предположительно подверглись атакам со стороны спонсируемых государством субъектов.

Метод, используемый в этой кампании, был направленным фишингом , который является целевой формой атаки, когда электронные письма создаются так, чтобы казаться законными и заслуживающими доверия для определенных лиц. В этом случае вредоносные электронные письма выдавали себя за известный контакт из партнерской организации WUC.

Эти письма содержали ссылки на Google Drive, при нажатии на которые можно было загрузить защищенный паролем архивный файл. В этом архиве содержалась взломанная версия UyghurEditPP — подлинного инструмента для обработки текста с открытым исходным кодом и проверки орфографии, специально разработанного для уйгурского языка.

Получатели не имели ни малейшего представления о том, что это, казалось бы, безобидное приложение было троянизировано, то есть содержало скрытый бэкдор. После запуска зараженного UyghurEditPP на компьютере жертвы этот бэкдор незаметно собирал системную информацию, включая имя машины, имя пользователя, IP-адрес, версию операционной системы и уникальный хэш, полученный от оборудования. Затем эти данные передавались на удаленный сервер управления и контроля (C2).

Затем операторы сервера могли отправлять инструкции обратно на зараженное устройство, что позволяло им выполнять различные вредоносные действия, такие как загрузка файлов с цели, загрузка дополнительных вредоносных файлов (включая дополнительное вредоносное ПО) и выполнение команд через загруженные плагины.

Анализ инфраструктуры кампании Citizen Lab выявил два отдельных кластера командования и управления. Первый, вероятно, активный в период с июня 2024 года по февраль 2025 года, использовал доменные имена, имитирующие разработчика инструмента UyghurEditPP ( gheyretcom, gheyretnet и uheyretcom) .

Во втором случае, нацеленном на WUC в период с декабря 2024 года по март 2025 года, использовались поддомены, зарегистрированные через Dynu Services, включающие уйгурские слова, но не имеющие прямой ссылки на инструмент или его разработчика.

Оба кластера использовали один и тот же сертификат Microsoft и IP-адреса, принадлежащие Choopa LLC, хостинг-провайдеру, используемому различными субъектами киберугроз. Эта двойная инфраструктура указывает либо на смену тактики злоумышленников, либо на нацеливание на различные сегменты внутри уйгурского сообщества.

Кроме того, исследователи подчеркнули высокий уровень социальной инженерии в методе доставки вредоносного ПО для слежки, которое само по себе не было столь технологически продвинутым. Злоумышленники продемонстрировали глубокое понимание уйгурского сообщества, используя доверие первоначального разработчика UyghurEditPP, известного членам WUC.

Это говорит о тщательно спланированной и целенаправленной операции, которая, возможно, начнется в мае 2024 года. Кампания , вероятно, была связана с китайским правительством и согласуется с его известными усилиями по проведению транснациональных репрессий против уйгурской общины.