Китайське угруповання TA415 розгорнуло нову кампанію кібершпигунства проти урядових структур США, аналітичних центрів та університетів. Зловмисники використовували підроблені запрошення на «закриті брифінги» та шкідливі архіви з VS Code Remote Tunnels, щоб отримати контроль над системами жертв.
За даними Proofpoint, атаки тривали в липні–серпні 2025 року та маскувалися під листи від Комітету з конкуренції США і Китаю та U.S.-China Business Council. Головною ціллю стали експерти з міжнародної торгівлі та економічної політики.
Листи приходили з підробленої адреси *uschina@zohomail[.]com* і містили архіви з прихованими файлами. Усередині — LNK-файл, який запускав обфусцьований Python-завантажувач WhirlCoil. Він встановлював завдання на виконання кожні 2 години з правами SYSTEM, створював віддалений тунель у Visual Studio Code та передавав дані на зовнішні сервери через *requestrepo[.]com*.
Особливість ланцюга зараження — використання PDF-документа-приманки, який відволікав користувача, поки в бекграунді налаштовувався бекдор. Цей підхід уже застосовувався проти аерокосмічних і виробничих компаній у 2024 році.
TA415 вважають частиною більшого кластера атакувальників, відомого як APT41 чи Brass Typhoon. Кампанія збіглася з новими попередженнями Конгресу США про «тривалу хвилю» шпигунських операцій Китаю. Схожі атаки вже здійснювалися від імені конгресмена-республіканця Джона Муленаара з метою крадіжки даних через фішингові листи.
Мета подібних кампаній — збір розвідданих на тлі напружених переговорів між США та КНР щодо торгівлі й Тайваню.
Кампанія TA415 демонструє: навіть новітні інструменти розробників, як-от VS Code, можуть стати каналом для шпигунських атак. Захист організацій вимагає посиленої перевірки вкладень, блокування небезпечних LNK-файлів і застосування Zero Trust-моделі доступу.
