你好, Хабр! Исследуем недавние сливы у Китайских пентестеров, опубликованные NetAskari. Исследователи получили доступ к данным об инструментарии и структуре отчетов в Китайской редтим-компании.
Дисклеймер
Из оригинального исследования, к сожалению, спустя день были удалены скриншоты некоторых тулз, так как те могли скомпрометировать автора утечки. Такие дела.
Выложили ссылки на китайские даркнет форумы в нашем телеграм
Пишем о цензуре и Китае
Только в образовательных целях! Онион сайты это плохо**
Инструментарий
Обширный рынок кибербеза Китая стал достаточно подробно задокументирован за последние годы. После появления утечек I-Soon (очень интересная тема кстати, на русском никто особо не разбирал) и последующих становится всё более очевидным, что часть этого коммерческого пентест-сектора периодически подрабатывает в интересах китайского правительства.
Традиционно довольно закрытое от остального мира сообщество китайских редтимеров и пентестеров часто окутано всякими слухами. Не в последнюю очередь, кстати, это произошло и из-за Китайских хакерских форумов, тематики и материалы которых можно изучать бесконечно.
Мы, конечно, не утверждаем, что эти программы явно используются APT-группировками или продвинутыми хакерами, работающими на государство в Китае. Честно говоря, они больше похожи на наши классические скрипткидди-сканеры, и их использование в настоящем пентесте довольно забавно увидеть
Если вы опытный пентестер, то вряд-ли что-то здесь покажется вам новым или откровением. Если вы ожидаете совершенно новых глубоких инсайтов здесь нет :(
Перейдем к обзору.
Burp Suite - такой вражеский, но такой дорогой
Использование популярной прокси Burp Suite от PortSwigger, похоже, так же любимо китайскими пентестерами, как и коллегами по всему миру.
Пусть это и было очевидно, учитывая, насколько прокся многофункциональная и сколько лет считается «стандартом» для поиска эксплоитов в веб-приложениях.
Плагины
Интереснее, конечно, коллекция плагинов и расширений китайского производства, которую нашли в этой подборке:
ByPassPro - Китайский форк, основанный на AutoBypass403. Автоматизированный инструмент для обхода прав доступа > link
Domain Hunter Pro - интеграция управления информацией о скоупе проекта и целях для бурпа > link
MingDong - старая, но обширная коллекция плагинов для Burp Suite, также локализованная версия Burp Suite на китайском. Из интересного, она также содержит опросник для собеседований по пентесту > link
OneScan - плагин для рекурсивного сканирования директорий. Заброшен с июня 2025 > link
Turbo-intruder - Это, так называемая, база. Уже депрекейтед плагин к Burp Intruder от PortSwigger для отправки большого количества HTTP-запросов и анализа результатов, заброшен в 2020 > link
xia_yue - инструмент для автоматизации обхода небезопасных авторизаций на HTTP > link
xia_sql - Не поверите, но это у них SQLmap такая на китайском > link
TsojanScan - расширенный плагин для обнаружения уязвимостей от китайской команды TsojanScanTeam > link
В целом многие из этих плагинов - довольно распространённый софт, который часто просто использует уже известные техники и эксплоиты. Но, видимо, на китайском рынке больше доверяют своим, локализованным вариантам расширений.
Китайские инструменты
Godzilla
Ещё одной интересной находкой стала копия Godzilla.
Это их фреймворк для веб-шеллов/эксплоитов, который использовался в серии атак в 2021 году на американскую инфраструктуру, и за которым наблюдали CISA и DHS.
«Health Sector Cybersecurity Coordination Center» тогда выпустил более детальный анализ этого инструмента.
В нём говорится:
Godzilla был создан в ответ на существующие веб-шеллы, которые часто обнаруживаются при атаках; Godzilla избегает обнаружения, используя шифрование AES (Advanced Encryption Standard) для своего сетевого трафика, что затрудняет его детект. Godzilla считается высокофункциональным [фреймворком] и обладает богатым набором возможностей.
Принято считать, что этот фреймворк используется исключительно хакерскими группами, которые связаны с китайским правительством, хотя при этом находится в публичном доступе и доступен каждому.
Полагаю, из этого обстоятельства нельзя делать слишком много выводов, кроме того, что это довольно мощный инструмент, используемый китайскими пентестерами.
LiqunKit
LiqunKit - это ещё один китайский фреймворк для эксплоитов. Последнее крупное обновление которого было 2021 года.
Он сфокусирован на эксплоитах для БДшек типа MySQL, Oracle, Redis, PostgreSQL и веб-серверах, используемых больше на их рынках, типа Struts, Weblogic и т.д. Из заявленных возможностей, сканер также умеет проверять некоторые уязвимости систем автоматизации офиса (все что OA на скрине ниже) .
Alibaba Nacos Exploit
В сливе также углядели и NacosExploitGUI - это фреймворк для эксплоитов платформы управления веб-(микро)сервисами Alibaba NACOS.
В целом очевидно, что что-то такое должно было быть, учитывая, что Alibaba Cloud и сопутствующие продукты очень широко распространены в Китае (и соседних странах). На странице Github NacosExploitGUI описывается как:
GUI-инструмент для эксплуатации уязвимостей, объединяющий обнаружение и эксплуатацию уязвимостей паролей по умолчанию, SQL-инъекций, обхода аутентификации и уязвимостей десериализации.
Панелька-комбайн из сервисов
.. с нечитаемым названием 天狐渗透工具箱-社区版V2.0纪念版
Это довольно комплексный коммерческий мета-фреймворк для эксплоитов, который, похоже, не фокусируется на полезных нагрузках или конкретных эксплоитах, а скорее предоставляет центр управления для более известных фреймворков вроде Cobalt Strike, Burp и т.д.
Этакая «все-в-одном» мамко-хакерская панелька
Так кто же за этим стоит?
Тут ещё раз хотим отметить, что человек, сливший данные, скорее всего коммерческий пентестер, и нет никаких доказательств или признаков, позволяющих предполагать, что он работает на китайское правительство или как-либо связан с APT-деятельностью.
Но использование подобных инструментов (ранее наблюдаемых у APT41, например) в частном секторе проясняют картину того, как сильно и�� использование распространено по стране.
Выложили ссылки на китайские даркнет форумы в нашем телеграм
Только в образовательных целях, онион сайты это плохо**