В июне 2022 года нескольким российским компаниям, в том числе в IT-сфере, разослали вредоносные письма, сообщили Forbes в Group-IB. Компания утверждает, что к атаке причастны китайские хакеры из группировки Tonto Team (также известна под названиями HeartBeat, Karma Panda, CactusPete, Bronze Huntley, Earth Akhlut).
В Group-IB рассказали, что 20 июня их система Managed XDR выдала оповещение о блокировке вредоносных писем, полученных двумя сотрудниками. В получателях также значились «несколько десятков ведущих IT и ИБ-компаний», но какие конкретно, не уточняется. По словам источника Forbes, в списке были «телеком-операторы, разработчики ПО, вендоры, один известный поисковик». По данным Group-IB, для вредоносной рассылки злоумышленники использовали фальшивую почту, зарегистрированную в бесплатном почтовом сервисе GMX Mail (Global Message eXchange). В компании по итогам собственного расследования «получили несколько доказательств» причастности к атаке Tonto Team.
Как пояснили в Group-IB, хакеры использовали фишинговые электронные письма для отправки документов Microsoft Office, которые были созданы в компоновщике вредоносных RTF-эксплойтов Royal Road Weaponizer. Этот инструмент якобы давно активно применяется китайскими прогосударственными группами. Кроме того, эксперты нашли бэкдор Bisonal.DoubleT, который является разработкой Tonto Team.
Эксперты еще в 2021 году сообщали о хакерах, которые используют уязвимости Microsoft Exchange. В числе злоумышленников, применяющих такой метод, называли Tonto Team. В марте 2022 года агентство «Синьхуа» сообщало, что около 87% зафиксированных Китаем кибератак направлено против России.