Cloudflare превращается в «невидимую» платформу для кибершпионажа
Кампания кибершпионажа против организаций в Малайзии показала, что злоумышленники могут скрывать инфраструктуру атак внутри легитимных сервисов Cloudflare, маскируя вредоносный трафик под обычный HTTPS. Исследователи обнаружили кастомные Python‑инструменты, инфраструктуру на Microsoft Azure и скрипты, отправлявшие у...
What does the reported cyber espionage campaign against Malaysian organizations reveal about how state-backed threat actors are abusing ClouState‑aligned threat actors increasingly hide command infrastructure, phishing pages, and data‑exfiltration channels inside legitimate cloud services.
Промпт ИИ
Create a landscape editorial hero image for this Studio Global article: What does the reported cyber espionage campaign against Malaysian organizations reveal about how state-backed threat actors are abusing Clou. Article summary: The Malaysia case shows a broader pattern: state-backed or state-aligned operators are hiding espionage infrastructure inside trusted cloud platforms, using Cloudflare not just as a CDN shield but as storage, app-hosting. Topic tags: general, general web. Reference image context from search candidates: Reference image 1: visual subject "# Malaysia’s digital growth and geopolitics widen cyber attack surface, raising critical infrastructure risks. New data from Cyfirma threat landscape report disclosed that Malaysia" source context "Malaysia's digital growth and geopolitics widen cyber attack surface ..." Reference image 2: visual subject "##### The Latest. A cam
openai.com
Кибершпионаж всё чаще прячется внутри легитимной облачной инфраструктуры. Недавняя кампания атак на организации в Малайзии показывает, как злоумышленники могут скрывать доставку вредоносного ПО, командные серверы и каналы утечки данных внутри обычного облачного трафика — в частности, используя сервисы Cloudflare.
Вместо очевидно подозрительных доменов или собственных серверов атакующие применяют доверенные облачные платформы и стандартный HTTPS‑трафик. Для систем защиты это серьёзная проблема: традиционные фильтры по доменам или репутации часто не замечают такую активность.
Кампания против Малайзии: кастомные инструменты и облачная инфраструктура
Исследователи безопасности обнаружили целевую кампанию вторжения против нескольких организаций в Малайзии. Управляемая злоумышленниками инфраструктура размещалась в Microsoft Azure (регион Malaysia West). Для каждой цели применялись специально написанные Python‑инструменты, которые выполняли разведку внутренней сети, доступ к базам данных и последующую эксфильтрацию данных.
Одной из ключевых находок стал скрипт, который отправлял украденные данные в облачное хранилище Cloudflare. Благодаря этому трафик выглядел как обычное HTTPS‑соединение с доверенным сервисом, что существенно снижало вероятность обнаружения.
По данным исследователей, цепочка атаки включала несколько этапов:
разведку внутри сети и доступ к базам данных
удалённые операции через WinRM
создание архивов с украденными файлами
артефакты дампа учётных данных Windows
выполнение внешних команд через HTTPS‑эндпоинты
Использование облачных сервисов на этапе вывода данных помогает злоумышленникам обходить периметровые системы безопасности, которые обычно блокируют неизвестные или подозрительные домены.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Каков краткий ответ на вопрос «Cloudflare превращается в «невидимую» платформу для кибершпионажа»?
Кампания кибершпионажа против организаций в Малайзии показала, что злоумышленники могут скрывать инфраструктуру атак внутри легитимных сервисов Cloudflare, маскируя вредоносный трафик под обычный HTTPS.
Какие ключевые моменты необходимо проверить в первую очередь?
Кампания кибершпионажа против организаций в Малайзии показала, что злоумышленники могут скрывать инфраструктуру атак внутри легитимных сервисов Cloudflare, маскируя вредоносный трафик под обычный HTTPS. Исследователи обнаружили кастомные Python‑инструменты, инфраструктуру на Microsoft Azure и скрипты, отправлявшие украденные данные в облачное хранилище Cloudflare.
Что мне делать дальше на практике?
Методы совпадают с более широкой тенденцией в Юго‑Восточной Азии, где группы вроде Mustang Panda, APT41 и Amaranth‑Dragon используют облачные платформы для фишинга, C2‑каналов и скрытой эксфильтрации данных.
Cloudflare управляет огромной глобальной платформой, которая включает хранилище данных, серверless‑вычисления, хостинг сайтов и туннелирование сетевого трафика. Те же функции, которые помогают разработчикам и компаниям, могут использоваться и злоумышленниками для сокрытия инфраструктуры атак.
Исследования показывают, что несколько сервисов Cloudflare регулярно появляются в кибератаках, потому что их трафик практически не отличается от легитимной облачной активности.
R2: скрытая эксфильтрация данных
Cloudflare R2 — это объектное хранилище, похожее на Amazon S3. Оно может использоваться злоумышленниками для:
загрузки архивов с украденными данными
хранения вредоносных файлов
распространения полезной нагрузки через доверенную инфраструктуру Cloudflare
Именно такой механизм был обнаружен в малайзийской кампании: специальный скрипт загружал похищенные данные в облачное хранилище, контролируемое атакующими.
Cloudflare Pages: инфраструктура фишинга
Cloudflare Pages позволяет быстро публиковать статические сайты. Атакующие используют эту возможность для размещения фишинговых страниц или поддельных порталов загрузки документов, которые выглядят как обычные веб‑сайты.
Cloudflare Workers: прокси для командных серверов
Workers — это серверless‑платформа, которая выполняет код на периферийных узлах Cloudflare. Злоумышленники применяют её для:
перенаправления пользователей на фишинговые сайты
ретрансляции трафика командных серверов (C2)
динамического управления вредоносными соединениями
Исследователи фиксировали случаи, когда инфраструктура удалённого доступа (RAT) работала через Cloudflare Workers, полностью скрываясь внутри легитимного облачного сервиса.
Cloudflare Tunnels: сокрытие настоящих серверов
Cloudflare Tunnel позволяет публиковать внутренние серверы в интернете, не раскрывая их реальный IP‑адрес. Это делает сервис привлекательным для атакующих: их инфраструктура остаётся скрытой за сетью Cloudflare.
В ряде вредоносных кампаний туннели Cloudflare использовались для размещения вредоносных файлов, которые распространялись через фишинговые письма и сложные цепочки заражения.
Региональный контекст: кибершпионаж в Юго‑Восточной Азии
Инцидент в Малайзии укладывается в более широкую региональную тенденцию: шпионские группы всё чаще используют легитимные облачные платформы для маскировки операций.
Стремительное развитие цифровой инфраструктуры Малайзии — особенно в телекоммуникациях, транспорте и энергетике — расширяет поверхность атак и повышает стратегическую ценность страны для разведывательных операций.
В регионе действует несколько известных APT‑групп, использующих похожие методы.
Mustang Panda
Mustang Panda — китайская кибершпионская группа, активная как минимум с 2012 года. Она регулярно атакует государственные и дипломатические структуры с помощью фишинговых писем и специально подготовленного вредоносного ПО.
APT41
APT41 считается государственной группой, связанной с Китаем. Она проводит шпионские операции против различных отраслей и стран, используя широкий набор собственных инструментов и вредоносных программ для долгосрочного доступа к сетям жертв.
Amaranth‑Dragon
В 2025 году исследователи обнаружили кампании, связанные с группой Amaranth‑Dragon, которая действует против государственных и правоохранительных организаций стран ASEAN и, по оценкам специалистов, тесно связана с экосистемой APT41.
Хотя малайзийская кампания, связанная с Cloudflare, официально не приписана какой‑либо конкретной группе, её характеристики — кастомные инструменты, региональная направленность и скрытая инфраструктура — совпадают с типичными методами государственных кибершпионских операций.
Почему такие атаки трудно обнаружить
Главная проблема для защитников заключается в том, что вредоносный трафик выглядит полностью легитимным.
Соединение с облачным хранилищем Cloudflare или серверless‑эндпоинтом выглядит как обычный зашифрованный веб‑трафик. При этом блокировка всего сервиса обычно невозможна, потому что многие компании используют Cloudflare для своих собственных сервисов.
Поэтому защита всё больше смещается от проверки доменной репутации к анализу поведения.
Потенциально подозрительные признаки могут включать:
неожиданные загрузки данных в хранилища Cloudflare
новые или ранее не наблюдавшиеся субдомены Cloudflare
крупные HTTPS POST‑запросы после создания архивов
серверы, которые редко выходят в интернет, но внезапно начинают обращаться к облачным сервисам
сетевой трафик Cloudflare, совпадающий по времени с дампом учётных данных, доступом к базам данных или удалёнными административными действиями
Главный вывод для кибербезопасности
Кампания в Малайзии демонстрирует важный сдвиг в стратегии атакующих: вместо запуска очевидно вредоносных серверов они всё чаще «живут» внутри доверенных облачных экосистем.
Для защитников это означает необходимость перехода от простых списков разрешённых сервисов к более глубокой аналитике — мониторингу поведения пользователей, перемещения данных и аномальной активности в облачных сервисах.
Когда вредоносная инфраструктура прячется внутри глобально доверенных платформ, главный вопрос уже не «куда идёт трафик», а как именно он ведёт себя.
Comments
0 comments