Компания Secureworks сообщила о весьма необычной тактике, принятой на вооружение китайской хакерской группировкой Bronze Starlight, действующей, предположительно, «с благословения» властей КНР. Эта группировка активна с середины прошлого года и использует загрузчик HUI loader для установки вредоносного ПО в системы жертв. За прошедшие месяцы киберпреступники применяли его для загрузки нескольких видов зловредов-шифровальщиков: LockFile, AtomSilo, Rook, Night Sky и Pandora.

Такой образ действий является крайне нетипичным для вымогательских групп. Они полагаются на использование одного и того же вредоносного ПО до тех пор, пока оно остается эффективным. Это заставило специалистов Secureworks предположить, что инфицирование шифровальщиками является лишь отвлекающим маневром. Оно направляет все силы IT-подразделений атакуемых компаний на борьбу с угрозой, позволяя хакерам с помощью того же HUI loader установить в системах троянцы удаленного доступа и в дальнейшем осуществлять кибершпионаж. Помимо этого, частая смена используемого вредоносного ПО сбивает с толку и исследователей: они не видят смысла детально изучать код вредоносных программ, которые «сняты с вооружения» хакерами и не являются активной угрозой.

Правда, однажды хакеры Bronze Starlight даже пошли на то, чтобы публично угрожать публикацией данных, если жертва не заплатит им выкуп. Однако и этот маневр, вполне вероятно, был имиджевым ходом, призванным создать образ «настоящей» вымогательской группировки. По оценкам Secureworks, от атак Bronze Starlight пострадала, по меньшей мере, 21 компания, три четверти из которых вполне могут быть интересны как объекты шпионажа. В их числе, например, предприятия оборонной, аэрокосмической и фармацевтической отраслей, а также крупная юридическая фирма из США.