Китайські хакери почали кібершпигунську операцію через 24 години після ударів США та Ізраїлю по Ірану

Дослідники з Zscaler виявили нову кампанію кібершпигунства проти країн Перської затоки. За їхніми даними, операцію майже напевно проводить китайський APT-актор Mustang Panda.

Найцікавіше — атака почалася приблизно через 24 години після початку ударів США та Ізраїлю по Ірану, що показує: інфраструктура операції була підготовлена заздалегідь.

Як працює атака

Жертвам надсилають файл, замаскований під PDF з інформацією про ракетний удар по американській базі в Бахрейні — тема, яка активно обговорювалась у новинах у той момент.

Після відкриття файлу запускається багаторівневий ланцюг зараження, який у підсумку встановлює бекдор PlugX.

Цікавий індикатор

RC4-ключ, вбудований у malware:

20260301@@@
Орієнтовна дата початку війни

https://www.zscaler.com/blogs/security-research/china-nexus-threat-actor-targets-persian-gulf-region-plugx