25.08.2025
1 хв
537
Аналітики CrowdStrike зафіксували активізацію китайських угруповань Murky Panda, Genesis Panda та Glacial Panda, які використовують уразливості в хмарних сервісах і телекомунікаційних системах для довготривалих шпигунських операцій проти урядових і корпоративних структур.
Murky Panda (Silk Typhoon, раніше Hafnium) відома атаками на Microsoft Exchange у 2021 році. Сьогодні група експлуатує інтернет-аплаєнси, уразливості Citrix NetScaler (CVE-2023-3519) і Commvault (CVE-2025-3928), щоб встановити вебшел neo-reGeorg і розгорнути бекдор CloudedHope. Особливу небезпеку становить використання довірених відносин між партнерами у хмарі: зловмисники отримують адміністративний доступ Entra ID та створюють тимчасові облікові записи для шпигунства, головним чином у поштових сервісах.
Genesis Panda діє з 2024 року, атакуючи фінансові, медіа та технологічні компанії в 11 країнах. Вона активно збирає облікові дані через Instance Metadata Service, що дозволяє їй рухатися всередині хмарних акаунтів, забезпечувати приховану присутність і виступати брокером початкового доступу для інших груп.
Glacial Panda орієнтована на телеком-сектор, де активність державних атак зросла на 130% за рік. Вона діє в США, Азії, Африці та Латинській Америці, використовуючи відомі експлойти та слабкі паролі для проникнення в Linux-сервери. Для закріплення застосовується троянізований OpenSSH під назвою ShieldSlide, що краде облікові дані й надає бекдор-доступ навіть для root-користувачів.
Murky Panda відзначилася ще у 2021-му своїми нульовими днями проти Exchange, тоді як Genesis Panda і Glacial Panda демонструють новий фокус Китаю на хмарних сервісах та телекомах як джерелах масштабної розвідінформації. Тактика від «живих» атак на апаратуру до маніпуляцій у SaaS-середовищах свідчить про стратегічний перехід Пекіна до комплексних кібероперацій.
Діяльність Murky, Genesis та Glacial Panda підтверджує: хмарні сервіси й телекомунікації стали ключовими цілями сучасного кібершпигунства. Використання zero-day, бекдорів та троянізованих компонентів робить атаки малопомітними й довготривалими. Для організацій критично важливо підсилювати хмарну безпеку, оновлювати сервери та мінімізувати ризики ланцюгів постачання.
