Специалисты компании Trend Micro выявили активное использование вредоносного JavaScript-фреймворка PeckBirdy, который применяют группы, связанные с китайскими государственными структурами. Этот инструмент задействован как минимум с 2023 года и используется в атаках против различных целей, включая сайты азартных игр в Китае, государственные учреждения и частные организации в странах Азии. PeckBirdy отличается гибкостью и способностью работать в разных средах исполнения благодаря использованию устаревшего, но универсального языка JScript. Такая реализация позволяет запускать фреймворк через встроенные средства Windows, обходя стандартные механизмы защиты. Впервые специалисты обратили внимание на PeckBirdy после обнаружения зловредных скриптов на китайских сайтах, связанных с азартными играми. Эти скрипты загружали основной вредоносный код, который в дальнейшем использовался для удалённой доставки других JavaScript-компонентов. Одной из целей подобных атак становится распространение поддельных страниц обновлений для браузера Google Chrome. Жертвам предлагается загрузить фальшивые файлы обновлений, что приводит к установке вредоносного ПО. Эта кампания отслеживается под кодовым названием SHADOW-VOID-044. В её рамках были обнаружены дополнительные скрипты, направленные на эксплуатацию уязвимостей браузера, организацию обратных соединений через TCP, распространение вредоносных окон с социальным инжинирингом и загрузку бэкдоров через Electron JS. Вторая активная кампания с использованием PeckBirdy началась летом 2024 года и получила название SHADOW-EARTH-045. В ходе этой активности злоумышленники внедряли ссылки на вредоносные скрипты прямо в страницы азиатских правительственных сайтов. В одном случае была скомпрометирована страница авторизации правительственного ресурса, в другом — использовался MSHTA для запуска фреймворка как канала удалённого доступа внутри частной организации. Кроме того, злоумышленники задействовали исполняемый файл на платформе .NET, чтобы запускать скрипты через ScriptControl. Особенностью PeckBirdy является поддержка множества методов исполнения — от браузеров и MSHTA до Node.js и классических ASP-сред. Сервер фреймворка на стороне атакующих позволяет передавать клиенту соответствующий скрипт в зависимости от окружения. Для этого используется уникальный идентификатор атаки и ID жертвы. После установки соединения фреймворк способен подгрузить вторую стадию атаки, например, модуль для кражи cookie-файлов. Анализ инфраструктуры, связанной с этими кампаниями, позволил выявить два сложных модуля — HOLODONUT и MKDOOR. Первый представляет собой .NET-бэкдор, способный загружать и удалять подключаемые модули, а второй — многофункциональный инструмент, способный выполнять те же задачи. Также установлена связь этих атак с другими известными вредоносными компонентами и группировками. На одном из серверов, связанных с SHADOW-VOID-044, обнаружено вредоносное ПО GRAYRABBIT, ранее применявшееся группой UNC3569. Другие следы ведут к структурам TheWizards и Earth Lusca, также известной как Aquatic Panda. Компоненты PeckBirdy легко адаптируются и незаметны для большинства защитных решений из-за использования динамически генерируемого кода и отсутствия постоянных файлов. Такая архитектура делает обнаружение подобных JavaScript-фреймворков особенно затруднительным.