Китайская APT-атака атакует филиппинскую военную фирму новым вредоносным ПО EggStreme без файлов

Bitdefender обнаружил EggStreme — вредоносное ПО без файлов, разработанное китайской APT-группой, нацеленной на филиппинские военные и организации Азиатско-Тихоокеанского региона.

Исследователи кибербезопасности из Bitdefender обнаружили новый вредоносный фреймворк EggStreme, который в настоящее время используется китайской APT-группой для шпионажа за военными организациями в Азиатско-Тихоокеанском регионе. Это открытие было сделано после расследования взлома филиппинской военной компании.

По словам исследователей, вредоносный инструментарий разработан как «единая» система, а не как отдельные образцы вредоносного ПО. Его компоненты работают последовательно, начиная с загрузчика EggStremeFuel, который подготавливает среду для последующих этапов. В конечном итоге злоумышленники внедряют EggStremeAgent — полнофункциональный бэкдор, способный проводить разведку, красть данные, изменять и даже удалять важные файлы.

Технический отчёт Bitdefender, предоставленный Hackread.com перед публикацией в среду, 10 сентября 2025 года, показывает, что EggStreme выполняет вредоносную программу без файлов . Кроме того, хотя зашифрованные модули находятся на диске, вредоносная нагрузка расшифровывается и выполняется только в памяти. В сочетании с загрузкой DLL из сторонних источников это затрудняет обнаружение фреймворка.

Основной бэкдор, EggStremeAgent, поддерживает 58 команд. Он способен собирать системные данные, манипулировать файлами, выполнять команды и внедрять дополнительные полезные данные. Каждый раз при начале нового сеанса пользователя он также внедряет кейлоггер в explorer.exe для отслеживания нажатий клавиш и данных буфера обмена. Связь с серверами управления и контроля осуществляется по зашифрованным каналам gRPC (Google Remote Procedure Call).

Для резервного копирования доступа злоумышленники используют вспомогательный инструмент EggStremeWizard. Этот более лёгкий бэкдор использует ещё один трюк с загрузкой DLL-библиотеки с помощью xwizard.exe и ведёт собственный список резервных серверов. Вместе с прокси-инструментом Stowaway этот фреймворк позволяет операторам маршрутизировать трафик внутри сети жертвы, обходя правила сегментации и брандмауэра.

Bitdefender отмечает, что кампания всё ещё активна, и рекомендует организациям в регионе применять опубликованные индикаторы компрометации. Индикаторы компрометации и технические подробности доступны на портале IntelliZone и в публичном репозитории GitHub .

Стоит отметить, что Филиппины уже некоторое время находятся под постоянным кибердавлением, причем не только со стороны шпионских инструментов, таких как EggStreme, но и со стороны хакерских и дезинформационных кампаний в целом, связанных с напряженностью в Южно-Китайском море.

Филиппины уже столкнулись с ростом числа кибератак: в начале 2024 года число инцидентов выросло более чем на 300% на фоне споров в Южно-Китайском море. Атака вредоносного ПО EggStreme показывает, что эти кампании — не отдельные инциденты, а часть более масштабного и продолжающегося давления на кибербезопасность и военную сферу страны.