Po rušném období se znovu vracíme do našich kybernetických kolejí – a přinášíme nové vydání Cybulovin. První text se zaměřuje na rostoucí spolupráci čínských skupin, které otevřeně sdílejí infrastrukturu, techniky i cíle. Tento trend zásadně komplikuje proces atribuce a potvrzuje, že tradiční analytické přístupy už nestačí. Výzkumníci ze společnosti Trend Micro proto představili model „Premier Pass-as-a-Service“, který popisuje formy koordinace a sdílení zdrojů mezi čínskými APT skupinami. Druhý článek přináší pohled na unikátní experiment společnosti Forescout, která vytvořila realistický honeypot vodárenské infrastruktury a úspěšně na něj nalákala proruské hacktivisty. Díky této proaktivní akci dnes víme mnohem víc o tom, jak tito aktéři přemýšlejí, jak testují své schopnosti a na jaké slabiny v operačních technologiích (OT) cílí. Závěrečný příspěvek se soustředí na elitní ruskou skupinu COLDRIVER, která po květnovém odhalení svého malwaru dokázala během pouhých pěti dnů nasadit nový, agresivnější framework ROBOT.
Příjemné čtení!
Tým Cybule
Obsah:
- Spolupráce mezi čínskými skupinami vyžaduje nový přístup k atribuci útoků
- Forescout nachytal proruské hacktivisty na honeypot vodárny
- COLDRIVER: nová rodina malwaru „ROBOT“ nahrazuje LostKeys
Spolupráce mezi čínskými skupinami vyžaduje nový přístup k atribuci útoků
(22.10.2025, Trend Micro)
Výzkumníci společnosti Trend Micro představují model „Premier Pass-as-a-Service“ pro vysvětlení různých forem spolupráce mezi různými čínskými APT skupinami. Analýza model přibližuje na případu spoluprace skupin Earth Estries a Earth Naga, kde Earth Estries funguje jako zprostředkovatel počátečního přístupu (initial access broker, IAB). Po kompromitaci zamýšleného cíle předala Earth Estries získaný přístup další skupině, Earth Naga (také známé jako Flax Typhoon nebo RedJuliett), k dalšímu zneužití. Spolupráce mimo jiné spočívala v tom, že Earth Estries umístila do sítě obětí malware ShadowPad, jehož infrastruktura patří Earth Naga. Trend Micro kategorizuje jejich spolupráci jako „Typ C“ – úzká koordinace. Typologie A-D popisuje různé formy spolupráci od relativně volné (sdílení přístupu) po několik forem úzké koordinace formou umístění malwaru jedné skupiny druhou, poskytnutí ofenzivní infrastruktury (např. ORB sítě) a koordinovanému útoku skrze kompromitaci dodavatelského řetězce.
Formy spolupráce mezi čínskými aktéry (Trend Micro)
| Typ spolupráce | Typ útoku | ||
| A | Sdílení vektoru útoku | Volná kordinace | Nasazení zadních vrátek prostřednictvím webových shellů, zneužití zranitelných veřejně přístupných serverů, apod. Koordinace je pravděpodobně náhodná, nikoli úmyslná. |
| B | Koordinovaný útok na dodavatelský řetězec | Úzká koordinace | Útoky využívající kompromitaci dodavatelského řetězce. Více útočníků spolupracuje na distribuci backdoorů prostřednictvím stejného kompromitovaného dodavatele. |
| C | Nasazení malwaru druhého aktéra | Úzká koordinace | Jedna skupina pomáhá druhé s nasazením malwaru v cílové síti. |
| D | Poskytnutí operační infrastruktury | Úzká koordinace | Jedna skupina připravuje infrastrukturu (ORB síť) pro použití druhou skupinou, často s využitím cloudových služeb pro C2 komunikaci. |
Co potřebujete vědět:
- Spolupráce umožňuje aktérům rozvíjet specializaci podle jednotlivých fází kompromitace. Jedna skupina se může soustředí na získání přístupu a druhá na pohyb napříč kompromitovanou sítí a exfiltraci dat. Specializovaná spolupráce, popsaná Trend Micro, stírá hranice mezi dříve odlišnými APT skupinami. Model ukazuje, že analytici již nemohou připisovat celý řetězec útoku jediné skupině jen proto, že je v napadeném systému přítomen její malware.
- Specifický model pozorovaný mezi Earth Estries a Earth Naga je ze strany Trend Micro klasifikován jako „Typ C“ (úzká koordinace), kdy jedna skupina aktivně pomáhá druhé nasadit její malware a nástroje v kompromitované síti.
- Tento kolaborativní model vyžaduje, aby se obránci zaměřili na identifikaci specifických operačních rolí, které aktéři hrají (např. vývojář, poskytovatel infrastruktury, koncový uživatel, apod). Zavedené modely, jako např. Diamond Model, mají stále hodnotu v popsání hlavních prvků kompromitace (oběť, útočník, infrastruktura, schopnosti), ale mají omezenou schopnost zachytit spolupráci mezi více specializovanými útočníky.
- Earth Estries (překryv se skupinou Salt Typhoon) se primárně zaměřuje na kritická odvětví, zejména na telekomunikační společnosti a vládní instituce ve Spojených státech, indo-pacifickém regionu a na Blízkém východě. V průběhu posledních dvou let došlo k rozšíření aktivity do regionů, jako jsou Jižní Amerika a Jižní Afrika.
- Skupina Earth Naga (známá též jako Ethereal Panda nebo Flax Typhoon) vykazuje od roku 2021 aktivní zájem o významné organizace napříč strategickými sektory. Mezi její hlavní cíle patří vládní úřady, telekomunikační operátoři, obranný sektor, technologické společnosti, mediální organizace a akademické instituce, přičemž zvláštní pozornost věnuje subjektům se sídlem na Tchaj-wanu.
Komentář Cybule: Spolupráce mezi čínskými skupinami je předmětem diskusí poměrně dlouho. Sdílení nástrojů a malwaru mezi jednotlivými skupinami je dnes již standardní praxe. Spolupráce při kompromitaci je mnohem méně zmapovaná, ačkoli ne úplně neznámá. Zejména s lepším odkrytím ekosystému privátních kontraktoru se častěji mluví o tom, že kontraktor zajistí přístup do sítě oběti a poté předá přístup státním institucím pro další pohyb sítí a krádeží informací. Role „zprostředkovatele počátečního přístupu“ (IAB) je běžně využívána v kyberkriminálním prostředí a čínský stát ukazuje schopnost využít specializovaných rolí pro státem řízenou špionáž. Mezi příklady čínského aktéra působícího jako IAB patří skupina UNC5174, na kterou letos upozornila například francouzské ANSSI a NVISO Labs.
Forescout nachytal proruské hacktivisty na honeypot vodárny
(9. 10. 2025, Forescout Vedere Labs)
Výzkumníci společnosti Forescout zachytili v průběhu září útok, při němž se proruské hacktivistické skupině TwoNet podařilo úspěšně nabourat do honeypotu simulujícího úpravnu vody. Skupina se po celou dobu útoku domnívala, že kompromitovala skutečnou vodárnu.
Co potřebujete vědět:
- Skupina TwoNet vznikla na začátku roku 2025 a zpočátku prováděla jen DDoS útoky. Postupně ale začala cílit i na průmyslové řídicí systémy v zemích, které označuje za „nepřátelské Rusku“.
- K útoku na honeypot Forescoutu došlo v září 2025. Útočníci se přihlásili do systému v 8:22 ráno pomocí výchozích údajů admin/admin.
- Postupně se jim podařilo vypsat databázová schémata, vytvořit si nový účet s názvem Barlati a následně zneužít zranitelnost CVE-2021-26829 (XSS), což jim umožnilo v HMI zobrazit pop-up s hláškou „“HACKED BY BARLATI, FUCK“.
- V dalším kroku odpojili několik PLC ze seznamu datových zdrojů a pokoušeli se měnit jejich nastavení přímo z HMI.
- Celá aktivita trvala zhruba 26 hodin, poslední přihlášení bylo zaznamenáno následující den v 11:19.
- Po útoku skupina TwoNet na Telegramu tvrdila, že úspěšně narušila provoz vodárny v Nizozemí.
Komentář Cybule: Průmyslové řídicí systémy začínají být čím dál atraktivnějším cílem pro útoky různých hacktivistických skupin. Skupina TwoNet, původně známá hlavně DDoS útoky, se v průběhu letošního roku velmi rychle přesunula k pokusům o útoky na průmyslové řídicí systémy. To, že Forescout dokázal jejich útok zachytit a detailně popsat, je velmi cenné. Útoky na OT a ICS prostředí totiž zřetelně přibývají, přičemž jednou z nejčastějších bran dovnitř do systémů stále zůstávají špatně chráněná zařízení vystavená napřímo do veřejného internetu. Případ TwoNet tak slouží jako velmi cenné varování pro všechny provozovatele průmyslových systémů.
COLDRIVER: nová rodina malwaru „ROBOT“ nahrazuje LostKeys
(20.10.2025, Google Cloud)
Ruská státem sponzorovaná skupina COLDRIVER (také Callisto, Star Blizzard, UNC4057) do pěti dnů od květnového odhalení LOSTKEYS přešla na nový malware ROBOT: NOROBOT (DLL loader), YESROBOT (Python backdoor) a následně MAYBEROBOT (PowerShell backdoor). Útoky jsou zahájeny falešnou CAPTCHA stránkou ve stylu „I’m not a robot“, která přiměje uživatele spustit DLL přes rundll32, a tím spustit celý řetězec kompromitace.
Co potřebujete vědět:
- COLDRIVER nasadila nové nástroje do pěti dnů po zveřejnění LOSTKEYS (květen 2025) a od té doby ji dále nepoužívá. Místo toho skupina zintenzivnila používání nové sady NOROBOT/YESROBOT/MAYBEROBOT s důrazem na operace proti vysoce hodnotným cílům: poradcům vlád a armád, personálu NATO a přidružených organizací, vlivným NGO a think-tankům, novinářům i lídrům občanské společnosti – včetně ruských disidentů v exilu. Zvýšenou prioritu představují také osoby s přímou vazbou na Ukrajinu.
- Infekce začíná na stránce s falešnou CAPTCHA (varianta COLDCOPY*/ClickFix), která uživateli podsune spuštění DLL přes
rundll32. První zachycený soubor se jmenovaliamnotarobot.dlls exportemhumanCheck– odtud i pojmenování „ROBOT“. - Počáteční verze loaderu NOROBOT byly neefektivní. Stahovaly kompletní instalaci Pythonu 3.8 jen proto, aby spustily backdoor YESROBOT. To v systému zanechávalo příliš mnoho stop a výrazně zvyšovalo šanci na odhalení, proto COLDRIVER rychle přešla na MAYBEROBOT. Jde o mnohem nenápadnější PowerShell backdoor, který má sám o sobě jen minimum funkcí, ale je plně flexibilní a řízený na dálku z C2 serveru.
- Od června 2025 je v této kampani pozorována jasná strategii: zatímco finální backdoor (MAYBEROBOT) zůstává stabilní a neměnný, loader (NOROBOT) prochází neustálým vývojem. Útočníci neustále mění jeho názvy, exporty, přidávají složitější mezikroky a dokonce rozdělují šifrovací klíče (např. mezi registry a kód), to vše s cílem uniknout detekci.
- Primárním cílem těchto operací je sběr zpravodajských informací pro podporu ruských strategických zájmů. Útočníci se snaží získat přístup přímo na koncové stanice (endpointy) obětí, aby zde nalezli citlivé dokumenty poskytující hlubší kontext. Hledají především dokumenty strategické hodnoty: pracovní podklady k politice a obraně, interní analýzy a memoranda, nebo seznamy kontaktů odhalující síťové vztahy zájmových osob. Jakmile útočníci ovládnou koncové zařízení, jejich postup je systematický. Podle dostupných analýz se nejprve zaměří na inventarizaci a exfiltraci uživatelských dat. Prohledávají standardní složky jako Dokumenty, Plocha, Stažené soubory a OneDrive se zaměřením na specifické přípony souborů (např.
.pdf,.doc,.xls,.zip,.rar). Nejprve si vytvoří seznam dostupných souborů (metadata) a až poté selektivně stáhnou pouze ty nejzajímavější.Souběžně probíhá průzkum systému a sítě pro budoucí operace (post-exploitation). Pomocí standardních příkazů jakowhoami /all,ipconfig /all,systeminfonebonetstat.
*COLDCOPY = návnadová stránka/landing page pro ClickFix, kterou COLDRIVER používá k doručení svých řetězců NOROBOT/YESROBOT/MAYBEROBOT.
Přehled vývoje malwaru (Google)
Komentář Cybule: Pětidenní interval mezi veřejným odhalením nástrojů a nasazením zcela nové frameworku svědčí o mimořádné operační připravenosti skupiny COLDRIVER. Ukazuje to, že veřejné odhalení není pro operátory katastrofou, ale ukázkou, že skupina disponuje nástroji, které umožňují rychlou redistribuci kapacit a nasazení náhradních komponent téměř okamžitě. Počáteční vektor přístupu postavený na falešné CAPTCHA stránce představuje sofistikovanou variantu sociálního inženýrtví. Operátoři systematicky zneužívají naučené uživatelské chování a implicitní důvěru v CAPTCHA jako legitimní bezpečnostní mechanismus — a proměňují tento „důvěryhodný“ signál v spouštěč exekuce škodlivého payloadu. To je posun oproti tradičním phishingovým návnadám, protože útok cílí na automatizované, rozšířené reflexy uživatele místo pouze na otevření přílohy nebo kliknutí na odkaz. Také technologická evoluce malware-stacku má strategický charakter: přechod od YESROBOTu, závislého na plné instalaci Pythonu a zanechávajícího výrazné artefakty, k minimalistickému PowerShell implantátu MAYBEROBOT, ukazuje jasnou preferenci pro stealth operace, jejichž cílem je snížit stopu na endpointu, zvýšit flexibilitu a zajistit dlouhodobou, obtížně detekovatelnou perzistenci v kompromitovaných systémech.
