Китайская группа FamousSparrow атаковала энергетический сектор Азербайджана

Связанная с Китаем хакерская группировка FamousSparrow провела многоэтапную кибершпионскую операцию против азербайджанской нефтегазовой компании, трижды используя одну и ту же уязвимость для повторного проникновения в инфраструктуру жертвы в период с декабря 2025 по февраль 2026 года. Об этом сообщает Bitdefender, связывая активность группы с экосистемой Earth Estries и Salt Typhoon.

По данным исследователей, злоумышленники использовали уязвимость Microsoft Exchange ProxyNotShell, известную с 2022 года. Через веб-оболочки, размещённые на сервере компании, атакующие последовательно разворачивали различные инструменты удалённого доступа, включая модифицированную версию Deed RAT и бэкдор Terndoor, ранее применявшийся против телекоммуникационных компаний в Южной Америке. Для маскировки инфраструктуры управления использовались домены, имитирующие названия известных компаний в сфере кибербезопасности.

Bitdefender отмечает, что операция совпала с ростом стратегической роли Азербайджана как поставщика газа в Европу после прекращения российского транзита через Украину и перебоев поставок через Ормузский пролив. Эксперты считают атаку частью более широкой практики китайского кибершпионажа, ориентированного на критическую энергетическую инфраструктуру и геополитически значимые цепочки поставок.

Исследователи отдельно подчёркивают, что злоумышленники смогли возвращаться в инфраструктуру компании на протяжении нескольких месяцев из-за отсутствия своевременного устранения уязвимости. По оценке Bitdefender, инцидент демонстрирует растущую устойчивость и дисциплину китайских APT-групп, а также сохраняющиеся проблемы с базовой защитой интернет-доступных сервисов в критически важных секторах.