Хакеры атаковали Южную Корею, а теперь нацелены на Запад.
Согласно новому отчету исследователей безопасности Insikt Group из Recorded Future, в конце января китайскоязычная группировка Xiaoqiying (Genesis Day, Teng Snake) атаковала 12 исследовательских и академических учреждений Южной Кореи с целью кражи данных.
Атаки на южнокорейские учреждения начались 25 января. В частности, пострадали НИИ, медицинские академии и исследовательские институты. Основываясь на анализе Telegram-каналов группы, сообщений на форумах и присутствия группы в Интернете, эксперты заключили, что Xiaoqiying — это хактивистская группа, которая не заинтересована главным образом в финансовой выгоде. Киберпреступники мотивированы патриотизмом к Китаю.
По словам специалистов, с момента обнаружения кампании хакеры уже провели серию новых кибератак против организаций в Японии и на Тайване. Эксперты считают, что группа будет проводить аналогичные кибератаки против Запада и стран НАТО, а также любой враждебной Китаю страны.
Исследователи обнаружили 2 Telegram-канала группировки: один для публикации сообщений, а другой для нескольких других хакеров, но оба канала были закрыты в феврале, когда СМИ начали освещать кибератаки в Южной Корее. До закрытия каналов группа набирала новых членов через Telegram.
На одном из Telegram-каналов (с 700 подписчиков на момент закрытия), хакеры Xiaoqiying заявили, что похитили в общей сложности 54 ГБ данных у различных организаций.
Исследователи Insikt заявили, что канал содержал десятки непроверенных заявлений о кибератаках, совершенных в 2022 году и затронувших ФБР США, Украину, Министерство здравоохранения и обороны Южной Кореи, Тайвань и Японию. Хакеры также утверждали, что получили доступ к внутренней сети компании Samsung.
Партнерские отношения, рекламируемые на канале, включали сотрудничество предположительно с группировками Lapsus$, Hive, пакистанскими и российскими хакерскими группами. Изученные исследователями журналы чатов показали, что группа обычно взламывала IoT-устройства, используя популярные инструменты для пентеста и PoC-эксплоиты.
Связь группы с китайским правительством не была установлена, но тот факт, что группа никогда не стремилась «заработать» на полученном доступе или украденных данных, предполагает, что хакеры имеют идеологическую мотивацию.
Из Telegram-канала исследователям Insikt Group удалось получить, помимо прочего:
- украденные у различных компаний данные;
- исходные коды и образцы вредоносных программ;
- файлы, связанные с госорганами США;
- украденные данные кредитных карт.
Главная страница Xiaoqiying в Интернете
Примечательно, что после закрытия Telegram-каналов участники Xiaoqiying продолжали рекламировать свою деятельность на своём сайте в общедоступном Интернете.
Китайские хакеры – не единственные, кто проводит атаки на Южную Корею. Так, северокорейские киберпреступники являются очень сильными противниками Южной Кореи в киберпространстве. Так, например, недавно команда Google TAG заявила, что северокорейские правительственные хакеры ARCHIPELAGO проводят атаки на правительственный и военный персонал, аналитические центры, политиков, ученых и исследователей в Южной Корее и США.
01-10-2025, 10:16 PM
Linear Mode
