China-linked APT na celowniku: długotrwała kampania szpiegowska przeciwko amerykańskiej organizacji non-profit

Wprowadzenie do problemu / definicja luki

W kwietniu 2025 r. amerykańska organizacja non-profit, zaangażowana w kształtowanie polityki międzynarodowej USA, została cicho skompromitowana przez aktora powiązanego z ChRL. Napastnicy utrzymywali dostęp przez tygodnie, budując persystencję i przygotowując się do długoterminowej kradzieży informacji. Najważniejsze: wykorzystano DLL sideloading z legalnym plikiem vetysafe.exe, a także MSBuild i harmonogram zadań do “bezplikowego” uruchamiania kodu oraz zainteresowanie kontrolerami domeny (DC), sugerujące zamiar przejęcia środowiska AD. To wpisuje się w wieloletnie wzorce chińskich operacji wywiadowczych ukierunkowanych na podmioty mające wpływ na politykę USA.

W skrócie

• Cel: amerykańska instytucja non-profit wpływająca na politykę zagraniczną USA.
• Czas: pierwsze ślady 5 kwietnia 2025; intensywna aktywność 16 kwietnia; utrzymanie dostępu przez tygodnie.
• Wejście: skan masowy pod znane RCE (m.in. Log4Shell, CVE-2022-26134 w Atlassian, Apache Struts CVE-2017-9805, GoAhead RCE), następnie rekonesans i budowa persystencji.
• TTP: scheduled task uruchamiający msbuild.exe, DLL sideloading przez vetysafe.exe → złośliwy sbamres.dll, aktywność dcsync-like; obserwacja Imjpuexc.exe (legalny komponent IME dla języków azjatyckich) na hostach.
• Atrybucja: zbieżność TTP/artefaktów z kampaniami Kelp/Salt Typhoon (Earth Estries), Space Pirates i Earth Longzhi (sub-grupa APT41); możliwe współdzielenie narzędzi.

Kontekst / historia / powiązania

Opisane techniki i pliki łączono wcześniej z chińskimi grupami: Kelp / Salt Typhoon (Earth Estries), Space Pirates oraz Earth Longzhi (sub-grupa APT41). W 2024–2025 r. Salt Typhoon była publicznie wiązana przez FBI/CISA z serią kompromitacji operatorów telekomunikacyjnych (setki celów, dziesiątki krajów), co pokazuje skalę zdolności i apetyt wywiadowczy. Jednocześnie Trend Micro szczegółowo dokumentował długotrwałe operacje Earth Estries oraz wcześniej aktywność Earth Longzhi.

Analiza techniczna / szczegóły luki

Łańcuch ataku (kill chain)

1. Wejście / Discovery – 5.04.2025: automatyczne skany pod publiczne RCE (Log4Shell, Atlassian OGNL, Struts, GoAhead). Celem było znalezienie “słabego punktu” ekspozycji internetowej.
2. Rekonesans sieciowy – 16.04.2025: seria poleceń curl (również do 192.0.0.88), testy łączności i pingowanie zasobów wewnętrznych; następnie netstat do enumeracji połączeń/procesów.
3. Persystencja i wykonanie – utworzono zadanie zaplanowane \Microsoft\Windows\Ras\Outbound, co godzinę uruchamiające msbuild.exe jako SYSTEM z plikiem outbound.xml. Z niego ładowano kod do csc.exe, który łączył się z C2: http://38.180.83[.]166/6CDF0FC26CDF0FC2.
4. Ładowanie ładunku – o 02:50 uruchomiono niestandardowy loader (SHA-256: f52b86...cb69), który odszyfrowywał i ładował w pamięci prawdopodobny RAT.
5. Uprzywilejowanie/AD – obserwacje aktywności DCSync-like oraz obecność Imjpuexc.exe tego samego dnia; silny nacisk na DC i rozprzestrzenianie się w domenie.

DLL sideloading przez VipreAV

Napastnicy wykorzystali legalny komponent vetysafe.exe (podpis „Sunbelt Software, Inc.”) do wstrzyknięcia sbamres.dll. Ten mechanizm wcześniej widziano u aktorów z Chin (np. Space Pirates, Earth Longzhi/APT41) oraz w połączeniu z Deed RAT / Snappy Bee, współdzielonym przez kilka grup z ekosystemu PRC (m.in. Kelp/Salt Typhoon/Earth Estries).

IOC (wybór)

• Imjpuexc.exe – SHA-256: 51ffcff8...c4d
• msoutbound – 6f7f099d...50ed9
• sbamres.dll – 99a0b424...b106 (łączony także z Space Pirates)
• mmp.exe (DCSync) – dae63db9...61e2
• vetysafe.exe – e356dbd3...65af2
• msascui.exe – f52b86b5...cb69
• C2: 38.180.83[.]166/6CDF0FC26CDF0FC2
  Źródło: analiza Broadcom/Symantec

Mapowanie do MITRE ATT&CK (skrócone)

• Initial Access: Exploit Public-Facing Application (T1190)
• Execution: MsBuild (T1127.001), Command & Scripting (T1059)
• Persistence: Scheduled Task/Job (T1053.005)
• Privilege Escalation / Defense Evasion: DLL Search Order Hijacking (T1574.001), Signed Binary Proxy Execution (T1218)
• Credential Access: DCSync (T1003.006)
• Discovery: Network Service Scanning (T1046), System Network Connections Discovery (T1049)
• C2: Application Layer Protocol – HTTP (T1071.001)

Praktyczne konsekwencje / ryzyko

• Think-tank effect: organizacje non-profit zajmujące się polityką są łakomym kąskiem — mają wrażliwe kontakty/dokumenty, ale zwykle mniejszy budżet bezpieczeństwa niż agencje rządowe.
• AD-first kompromitacja: próby DCSync i zainteresowanie DC wskazują na dążenie do pełnej dominacji domeny i trwałej obecności.
• Tool-sharing utrudnia atrybucję: współdzielenie łańcuchów ładowania (np. vetysafe.exe + sbamres.dll) między Kelp/Earth Estries, Space Pirates i APT41/Longzhi zmniejsza wartość pojedynczych IOC — trzeba koncentrować się na behawiorystyce i korelacjach.
• Szerszy obraz: kampanie Salt Typhoon z 2024–2025 pokazały potencjał strategicznego podsłuchu i pivotu między sektorami (telco → polityka/public policy).

Rekomendacje operacyjne / co zrobić teraz

1) Szybka walidacja (IR triage)

EDR/SIEM – zapytania ad-hoc

• KQL (Microsoft 365 Defender / Sentinel): wykrywanie zadań MSBuild jako SYSTEM

DeviceProcessEvents | where FileName =~ "schtasks.exe" and ProcessCommandLine has_all ("\\Microsoft\\Windows\\Ras\\Outbound", "msbuild.exe") or (FileName =~ "msbuild.exe" and InitiatingProcessIntegrityLevel =~ "System")

• Sigma (Windows Process Creation) – MsBuild + DLL sideloading vipre

title: Suspicious MsBuild with Outbound XML and Vipre Sideloading id: 1d1c0b5b-2a5b-4c2e-9d1c-apt-cn-msbuild-vipre logsource: { category: process_creation, product: windows } detection: sel1: Image|endswith: '\msbuild.exe' CommandLine|contains: 'outbound.xml' sel2: Image|endswith: '\vetysafe.exe' condition: sel1 or sel2 level: high tags: - attack.execution.T1127.001 - attack.defense_evasion.T1218

• YARA (na sbamres.dll wg znanych hash):

rule SBAMRES_Suspicious_DLL { meta: description = "Detect sbamres.dll linked in Symantec report" sha256_1 = "99a0b424bb3a6bbf60e972fd82c514fd971a948f9cedf3b9dc6b033117ecb106" condition: uint16(0) == 0x5A4D and sha256(0, filesize) == sha256_1 }

• PowerShell: IOC sweep (hash + ścieżki)

$hashes = @( "51ffcff8367b5723d62b3e3108e38fb7cbf36354e0e520e7df7c8a4f52645c4d", "6f7f099d4c964948b0108b4e69c9e81b5fc5ff449f2fa8405950d41556850ed9", "99a0b424bb3a6bbf60e972fd82c514fd971a948f9cedf3b9dc6b033117ecb106", "dae63db9178c5f7fb5f982fbd89683dd82417f1672569fef2bbfef83bec961e2", "e356dbd3bd62c19fa3ff8943fc73a4fab01a6446f989318b7da4abf48d565af2", "f52b86b599d7168d3a41182ccd89165e0d1f2562aa7363e0718d502b7e3fcb69" ) Get-ChildItem -Path C:\ -Recurse -ErrorAction SilentlyContinue | ForEach-Object { try { $h = Get-FileHash $_.FullName -Algorithm SHA256 if ($hashes -contains $h.Hash) { $_.FullName } } catch {} }

(IOC pochodzą z publikacji Broadcom/Symantec).

2) Utrudnij techniki użyte w kampanii

• Zablokuj sideloading: wdroż Application Control (WDAC/AppLocker) – zezwalaj na uruchamianie vetysafe.exe tylko z oczekiwanych katalogów i z poprawnym chain-of-trust; blokuj ładowanie niezaufanych DLL obok binariów vendorów AV.
• Twarde zasady dla MSBuild: o ile niepotrzebny na stacjach/serwerach, blokuj msbuild.exe; w przeciwnym razie rejestruj i alertuj wykonywanie jako SYSTEM i z plikami .xml poza zaufanymi ścieżkami.
• AD hardening: ogranicz DC replication permissions, monitoruj DSGetNCChanges/DCSync i nieużywane replication rights; wdroż tiering administracyjny i PAW dla kont uprzywilejowanych.
• Egress control: blokuj ruch HTTP do 38.180.83.166 i wariantów ścieżek; wdroż proxy z inspekcją egress + DLP na ruch do nieznanych hostów.
• Patch hygiene: ponieważ initial access mógł używać znanych RCE, włącz ataki priorytetowe (OGNL Atlassian CVE-2022-26134, Log4Shell, Struts 2017-9805, GoAhead 2017-17562) w planie poprawek oraz skany pre-/post-patch.

3) Dodatkowe zalecenia zgodne z wytycznymi rządowymi (Salt Typhoon)

• Zgodnie z poradnikami CISA/FBI/NSA dot. Salt Typhoon: segmentacja krytycznych systemów, kontrola urządzeń brzegowych, rotacja poświadczeń, telemetry z routerów/telco, odseparowanie usług zarządzania i out-of-band management. choćby jeżeli nie jesteś telco, tradecraft przenika między sektorami.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• Telco 2024–2025 vs think-tank 2025: w telco dominował cel SIGINT/komunikacje (podsłuch, CDR, dane abonentów), tutaj – influence intelligence (dokumenty, korespondencja, mapy wpływów). Jednak techniki (MSBuild, sideloading, legalne binaria, długi dwell time) są spójne.
• APT41/Earth Longzhi: ten klan od lat używa elastycznych łańcuchów ładowania i sideloadingu do ukrycia RAT-ów. Obecne artefakty (vetysafe.exe + sbamres.dll) mają historyczne analogie.
• Earth Estries (Kelp/Salt Typhoon): Trend Micro pokazał długofalowe, “ciche” kampanie z własnymi backdoorami i użyciem SnappyBee/Deed RAT; wnioskiem jest współdzielenie toolingu między podgrupami i trudna atrybucja.

Podsumowanie / najważniejsze wnioski

• Atak na non-profit pokazuje, iż organizacje kształtujące politykę są w orbicie zainteresowań aktorów państwowych z ChRL.
• Behawiorystyka > IOC: z racji współdzielenia narzędzi, kluczem jest korelacja TTP (MSBuild + SYSTEM + harmonogram + sideloading Vipre).
• AD to crown jewels: każda wzmianka o DCSync/replication powinna wywoływać high-severity IR.
• Wdrożenia application control, detekcji living-off-the-land i telemetrii egress znacząco utrudniają powtórkę.

Źródła / bibliografia

1. Broadcom/Symantec: China-linked Actors Maintain Focus on Organizations Influencing U.S. Policy (06.11.2025) – główne źródło analizy (TTP/IOC/czas). (security.com)
2. SecurityAffairs: omówienie incydentu i streszczenie wniosków Symantec (08.11.2025). (Security Affairs)
3. CISA/NSA/FBI: Countering Chinese State-Sponsored Actors… (27.08.2025) – kontekst Salt Typhoon i zalecenia strategiczne. (CISA)
4. Trend Micro: Breaking Down Earth Estries’ Persistent TTPs… (08.11.2024) – tło dot. Earth Estries/Salt Typhoon/Deed RAT. (www.trendmicro.com)
5. Trend Micro: Hack the Real Box: APT41’s New Subgroup Earth Longzhi (09.11.2022) – tło dot. Earth Longzhi/APT41. (www.trendmicro.com)