Анализ активности хакерских группировок, III квартал 2025 г.

В III квартале 2025 года департамент Threat Intelligence Positive Technologies продолжил мониторинг и анализ активности хакерских группировок, нацеленных на российские организации. Настоящий отчет систематизирует выявленные эпизоды и демонстрирует типовые цепочки атак — от первоначального проникновения до развертывания вредоносного ПО и закрепления в инфраструктуре.

Исследование основано на совокупности источников: проверяемые открытые данные, внутренняя телеметрия, результаты разборов инцидентов, статический и динамический анализ образцов. В данном отчете отобрали показательные эпизоды, где хорошо видны повторяющиеся технические решения и привычки группировок, видно, как они переживают смену доменов, ключей и хостингов.

Читатель получит набор прикладных ориентиров: за чем и где наблюдать, чтобы отличить штатную активность от атаки; какие признаки искать в событиях и что делать, когда индикаторы компрометации не помогают.

В III квартале 2025 года группа киберразведки департамента Threat Intelligence фиксировала серию фишинговых кампаний, атрибутируемых группировке PseudoGamaredon. Доставка велась через электронные письма с архивами-приманками; внутри вложений размещалась вредоносная нагрузка, а тематика сообщений имитировала официальную корреспонденцию и мобилизационно-учетную документацию.

Начальная стадия реализована одновременным стартом документа-приманки и командного скрипта.

Исполняемый файл инициирует команду:
cmd /c start "" "<путь>\Xerox Scan-… .pdf" & <путь>\Daisytown.cmd

Это позволяет незаметно для пользователя передать управление во второй компонент и маскировать активность демонстрацией документа. Дальнейшая логика разворачивания сосредоточена в Daisytown.cmd.

Скрипт Daisytown.cmd с помощью консольной версии WinRAR распаковывает pearlescence.rar, после чего передает управление следующему скрипту dearticulation.bat, который отвечает за подготовку конфигурации UltraVNC (PnPHost.exe).

Конфигурационные параметры включают разрешение на передачу файлов от оператора, нестандартные TCP-порты сервера и HTTP-обертки, а также подавление иконки в трее и всплывающих уведомлений, что демонстрирует скрытность вредоносного ПО. В конфигурации также задана хеш-сумма основного пароля UltraVNC, а поле второго пароля для режима «только просмотр» пусто, что обеспечивает оператору полный доступ, в том числе управление клавиатурой и мышью и возможность обмена файлами.

После настройки конфигурации dearticulation.bat через планировщик заданий Windows регистрирует скрытый запуск junkie.bat каждые шесть минут. Скрипт выполняет несколько команд nslookup к домену узла управления для проверки доступности, после чего инициирует обратное подключение UltraVNC к указанному узлу с автопереподключением. Конкретное имя домена (адрес C2-сервера) задается параметрами и меняется от кампании к кампании.

В III квартале мы продолжили фиксировать активность группировки TA Tolik: наблюдаемая кампания сохранила знакомую цепочку первоначального доступа через таргетированные фишинговые рассылки с вложениями в виде архива, содержащего HTA-файл, который разворачивает на диске VBS-/VBA-скрипты, а также вредоносный зашифрованный код 
в ветках реестра.

Поведение HTA-файлов претерпело изменения: при первом выполнении HTA генерирует два VBS-файла с именами core_stablity_report.vbs и utility_report.vbs вместо четырех, как ранее. Скрипт core_stablity_report.vbs реализует сбор учетных данных из мессенджера Telegram и из браузеров, включая сохраненные логины, пароли и сессионные данные. Второй файл агрегирует собранные данные и обеспечивает их передачу на командный сервер. HTA создает задачу планировщика, настроенную на выполнение упомянутых скриптов каждые 60 минут. Именно через это расписание инициируется регулярный контакт с основным C2-сервером, адреса и параметры которого хранятся в реестре в зашифрованном виде.

Отдельной деталью является генерация уникального идентификатора устройства жертвы и его отправка в публичный канал Discord с использованием вебхука. Эти сообщения выполняют роль шумового (дезинформационного) сигнала: с учетом фокуса группировки на российской инфраструктуре и ограничений доступа к Discord вебхук создает видимость внешней активности. Настоящая командно-управляющая связь, параметры которой зашифрованы в ветвях реестра, запускается задачей планировщика через 60 минут; из-за этого кратковременные автоматизированные прогоны в песочнице не фиксируют реального трафика с С2-сервера.

В III квартале 2025 года мы фиксировали активность XDSpy. Как и ранее, первичная доставка опирается на фишинговые письма и социальную инженерию, подталкивающую получателя распаковать архив и запустить вредоносное ПО. Эта тактика группировки была подробно описана в нашем Telegram-канале и с тех пор осталась без принципиальных изменений: в контейнере лежат LNK-файл и замаскированный архив, в котором находятся документ-приманка и легитимное ПО с вредоносной библиотекой.

Принцип работы LNK-файла остался прежним и сводится к запуску вспомогательного сценария на JScript .NET, собираемого штатным компилятором jsc.exe, который, в свою очередь, проверяет наличие Notepad 
и распаковывает замаскированный архив с последующим запуском ВПО.

Легитимное ПО последовательно показывает документ-приманку и инициирует загрузку вредоносной библиотеки. Запуск DLL осуществляется через классическую технику DLL Side-Loading: библиотека с нужным именем кладется в ожидаемое место, и во время старта приоритет загрузки позволяет выполнить код библиотечного загрузчика. Эта техника детально формализована в ATT&CK как T1574.002, и XDSpy использует ее со времен прошлых кампаний.

Сетевое поведение в этой кампании подтверждает характерную для группы архитектуру переадресаций и прокладок. В ходе динамического анализа вредоносных семплов фиксировались обращения к доменам, которые, в свою очередь, перенаправляли трафик по несуществующим URL в публичные облачные хранилища, такие как Mega, Dropbox и Google Drive.

При изучении доменов группировки в теле HTML-страницы был обнаружен обфусцированный скрипт на JavaScript, который реализует предварительную проверку с телеметрией перед переадресацией запроса.

После загрузки начинается циклический перезапуск страницы каждые 5 секунд; по готовности DOM выполняются эвристики обнаружения автоматизации и спуфинга. Проверяются navigator.webdriver, маркеры headless и bytespider в userAgent и appVersion, отсутствие языков в navigator.languages, нулевые внешние габариты окна, а также целостность прототипов PluginArray и MimeTypeArray и их элементов. Собранная телеметрия и время отработки скрипта отправляются на бэкенд операторов.

Любое расхождения данных телеметрии с заданными или ожидаемыми параметрами трактуются как провал, при котором пользователя переадресуют на страницу-заглушку (рис 10). При успешном прохождении скрипт переадресует пользователя на декодированный из pdata ресурс и осуществляет скачивание полезной нагрузки для следующего этапа.

Этот механизм проверок создан для отсечения песочниц и других средств защиты и для усложнения работы аналитиков, снижая вероятность детектирования, автоматического извлечения образца и воспроизводимость цепочки в неинтерактивной среде.

На протяжении III квартала наша группа киберразведки исследовала шпионскую активность PhantomCore. Мы наблюдали цепочку атаки, в которой начальный доступ обеспечивался преимущественно через целевые рассылки с ZIP-архивами и LNK-ярлыками, а также через фишинговые страницы с fake CAPTCHA, принуждающие выполнить PowerShell-однострочник.

Первая стадия включала бэкдоры семейства Phantom (варианты RAT/RShell), общающиеся с C2-сервером по REST-эндпойнтам для регистрации агента, получения задач и отдачи результатов, что давало операторам быстрый контроль на исходном узле без громоздкой установки.

Постэксплуатация координировалась через собственную веб-панель с API и PhantomTaskShell. Агент регулярно опрашивал панель, принимал задания, записывал результаты и закреплялся в системе за счет планировщика заданий с нейтральными именами.

Для устойчивого присутствия группировка комбинировала легитимный MeshCentral/MeshAgent, замаскированный под корпоративные сервисы, с обратными SSH-туннелями поверх 80/443 и собственным SOCKS-прокси. Сбор учетных данных шел как через коммерческий password recovery, так и через собственный стилер PhantomPasswordDumper, умеющий не только выгружать, но и импортировать сохраненные секреты из популярных браузеров и клиентов. Сбор документов и конфигураций автоматизировался скриптами, а эксфильтрация выстраивалась через Rclone в публичные облака; артефакты доставки подгружались типовыми средствами Windows (iwr, certutil), после чего среда аккуратно зачищалась.

Помимо эволюции PhantomRAT/RShell и консоли Phantom, в операциях замечены RSocx как легкий SOCKS-узел для проксирования трафика и вспомогательные SSH-сервисы для автоматизации реверс-туннелей. Параллельно на периферии мы выделили появление упрощенного Go-клиента PhantomGoShell с иной серверной частью и шифрованием на стороне транспорта. Более подробно с артефактами, TTP и инфраструктурой можно ознакомиться в нашей публикации «Фантомные боли. Масштабная кампания кибершпионажа и возможный раскол APT-группировки PhantomCore».

В III квартале группа киберразведки фиксировала устойчивую фишинговую активность хакерской группировки Rare Werewolf. Относительно предыдущих периодов акторы сохранили прежнюю тактику начального проникновения: жертве отправляется письмо с вложением в виде запароленного архива и нейтральной деловой темой, связанной 
с документооборотом.

Архив содержит исполняемый файл с расширением .scr, название которого совпадает с именем архива, ему присвоена иконка папки.

Внутри .scr-файла упакованы вспомогательные компоненты: PDF-документ, утилита curl.exe для сетевой выгрузки дополнительных файлов, консольный упаковщик-распаковщик архивов под именем driver.exe и пустой BAT-шаблон, который далее будет наполняться командами по мере выполнения сценария. Такой набор позволяет начать собирать и исполнять рабочую среду прямо на узле жертвы без дополнительных зависимостей и с минимальными поведенческими артефактами.

При запуске файла пользователю выводится PDF-документ (рис. 21), а в фоновом режиме происходит тихая стадия инициализации: создается и заполняется BAT-скрипт, в который последовательно записываются команды для навигации по рабочему каталогу, инициализации почтовых переменных окружения (адреса для исходящей и входящей почты, SMTP-узел, пароль отправителя) и для сетевой доставки полезной нагрузки. Для скачивания следующего стейджа используется curl с обращением к хостингу, где включен режим листинга каталогов, из-за чего архив доступен по прямой ссылке и может обновляться атакующими без изменения клиентской ступени.

После загрузки вызывается driver.exe для распаковки архива, содержимое которого не отличается от того, чтобы было в прошлых кампаниях: папка Trays, отдельный установщик AnyDesk, утилита blat.exe для отправки почты по SMTP, управляющий скрипт auto_update.bat, модуль next.exe с функциями стилера и вспомогательная программа WBPV.exe (WebBrowserPassView) для извлечения сохраненных учетных данных из браузеров.

Запустившись, auto_update.bat конфигурирует AnyDesk, задает пароль доступа и копирует зашифрованную копию его конфигурации в смежные каталоги, чтобы переживать удаление первичных файлов. Параллельно создаются резервные копии системных реестровых веток, а снимки упаковываются в запароленные архивы и отправляются на заранее заданный адрес приема через blat.exe по SMTP-каналу.

Затем сценарий удаляет локальные артефакты — временные архивы, BAT/CMD-файлы, бэкапы и вспомогательные бинарники, — минимизируя объем доступных для форензики объектов, и передает управление модулю next.exe.

Модуль next.exe разворачивает вторую фазу эксфильтрации: запускается широкое файловое сканирование по маскам, которое отбирает файлы с расширениями .doc, .docx и .pdf; найденные файлы собираются в зашифрованные RAR-архивы и отправляются через blat.exe.

Дополнительно в процессе работают вспомогательные извлекатели учетных данных. WBPV.exe парсит хранилища браузеров на наличие сохраненных паролей, куки и автозаполнений, после чего результаты также упаковываются и уходят по SMTP-каналу.

Летом 2025 года группа киберразведки зафиксировала две связанные фишинговые цепочки хакерской группировки Goffee. В начале июля адресатам из ВПК пришло фишинговое письмо от лица Минпромторга с архивом minprom_04072025.rar.

При распаковке использовалась уязвимость WinRAR CVE-2025-6218, позволяющая специально созданному RAR-файлу записать файлы вне каталога извлечения, включая папки автозагрузки. Внутри архива находился пропатченный загрузчик с внедренным шеллкодом Metasploit: при размещении в автозагрузке это обеспечивало устойчивое открытие реверс-шелла.

Почтовая рассылка шла с российского IP-адреса 213.171.4[.]200, на котором обнаружены домены rt-inforu[.]ru и impact-dns[.]ru. В цепочке атаки использовалась ссылка с большой вложенностью каталогов на домене eliteheirs[.]org, зарегистрированном через NameSilo; вредоносный трафик маршрутизировался через 89.110.88[.]155 из российского сегмента. Дальнейшие стадии восстановить не удалось из-за отключения C2-сервера к моменту анализа. При поиске по сходным именам обнаружен файл xpsrchvw.exe; его разбор показал модифицированный фрагмент с шеллкодом, использующим ту же строковую обфускацию и динамическое разрешение WinAPI, что характерно для агента Mythic MiRat, применявшегося Goffee в 2024 году.

Во второй половине июля обнаружены архивы DON_AVIA_TRANS_RU.rar и Запрос_Минпромторг_22.07.rar, эксплуатирующие ранее неизвестную уязвимость WinRAR до 7.12 включительно, при которой специально созданный архив мог выйти за пределы папки извлечения и записать скрытые альтернативные потоки NTFS в произвольные системные пути — то есть поместить туда вредоносный код незаметно для пользователя и средств обнаружения.

Помимо документа-приманки архив содержал файлы .lnk и .exe в виде альтернативных потоков для PDF; исполняемый файл выступал простым .NET-загрузчиком, формировал запросы с параметрами hostname и username, получал следующую полезную нагрузку и загружал ее рефлексивно. Для доставки использовались многоуровневые пути на .org-домены trailtastic[.]org и indoorvisions[.]org, оформленные у массовых регистраторов и размещенные на российских IP-адресах.

Совокупность приемов — эксплуатация CVE-2025-6218 и WinRAR ADS traversal, триггерный запуск и рефлексивная загрузка .NET-модулей, глубокая вложенность URL на .org-доменах и российские хостинг-площадки — формирует целостный профиль летней кампании 2025 года.

Эти признаки напрямую коррелируют с эпизодами 2024 года и объясняют атрибуцию к той же группировке: совпадают такие маркеры, как обфускация и динамический резолв в MiRat-совместимых модулях, доставочные и постэксплуатационные механики (многоступенчатые загрузчики на .NET с рефлексивной подгрузкой, DLL Side-Loading под wsmprovhost/WsmSvc/mi.dll), а также инфраструктурный почерк (.org-домены с глубокой вложенностью, регистрация через NameSilo или Namecheap, российские подсети для стейджинга и C2). Повторяемость этих TTP по двум периодам обеспечивает связку летних инцидентов 2025 года с кампаниями 2024-го. Более подробное описание летней кампании, используемого вредоносного ПО и связи с атаками Goffee в 2024 году можно прочитать в нашей публикации «Гадание на Goffeeной гуще: актуальные инструменты и особенности группировки Goffee в атаках на Россию».

В III квартале группа киберразведки отслеживала фишинговую активность группировки IAmTheKing. Злоумышленники отправляли электронные письма с ящиков на «Яндекс Почте» и Mail.ru, мимикрируя под домен gov.ru.

Кампания строится вокруг LNK-ярлыка, который доставляется в запароленном архиве.

При запуске LNK-файла запускается первичный PowerShell-однострочник, который:

• Рекурсивно ищет в профиле пользователя LNK-файл document.docx.lnk, отфильтровывая обычные LNK-файлы по размеру.
• Через встроенную утилиту findstr читает содержимое ярлыка как текстовый поток.
• Полученный буфер делит по символу обратной кавычки (`) и из фиксированного индекса берет следующий PowerShell-фрагмент, который исполняется через Invoke-Expression.

Второй этап — уже сборка полезной нагрузки и приманки из двух Base64-блоков, спрятанных в теле ярлыка, с помощью следующего PowerShell-фрагмента.

Алгоритм тот же:

• LNK-файл находится повторно, содержимое читается с помощью утилиты findstr, но теперь буфер «режется» по символу тильды (~).
• Элементы интерпретируются как Base64-строки, из которых восстанавливаются два файла — исполняемый Player.exe и документ document.docx.

Далее скрипт последовательно запускает приманку, чтобы отвлечь пользователя, и исполняет Player.exe.

Группировка вшивает веб-маяк через внешнее изображение: ссылка хранится в word/_rels/document.xml.rels и при открытии документа инициирует HTTP-запрос на контролируемый злоумышленниками узел. По такому запросу оператор гарантированно получает публичный исходящий IP-адрес вашего периметра (или адрес egress-прокси) и точную метку времени каждого обращения, а также сам запрошенный URL/путь с уникальным токеном, который однозначно связывает открытие с конкретным адресатом или волной рассылки. Даже этой минимальной телеметрии достаточно, чтобы профилировать охват и своевременно понять, что фишинговая активность выявлена, после чего оперативно мигрировать трекинг и C2 на новую сетевую инфраструктуру. Другие заголовки (например, User-Agent, Accept-Language или X-Forwarded-For) могут присутствовать, но не гарантируются и зависят от среды и настройки.

Аналогичный прием мы подробно разбирали в 2024 году в докладе «The Lord of PowerShell: The Return of ‛IAmTheKing’» на конференции Kaspersky SAS 2024.

Дополнительно в метаданных документа зафиксирована дата последнего изменения — 24 июля 2025 года; это через пару дней после регистрации домена aterogytatus[.]com, на который уходили трекинговые запросы веб-маяка.

Это временное совпадение указывает на то, что файл редактировался уже под актуальные точки приема телеметрии.

Запущенный в фоне Player.exe является реверс-шеллом, который без статических импортов определяет адреса необходимых системных API, подгружает сетевые библиотеки и устанавливает исходящее TCP-соединение с жестко прописанным сервером управления.

После подключения запускает командную оболочку и направляет в это соединение ввод с клавиатуры, вывод команд и сообщения об ошибках, давая оператору полноценный удаленный доступ к консоли жертвы. Механизмов закрепления не реализовано; единственная сетевая активность — подключение к C2-серверу по адресу 185.249.198[.]173 (домен main.aterogytatus[.]com).

В начале июля группа киберразведки обнаружила несколько семплов, связанных с Telemancon: исполняемые файлы формата SCR, используемые в качестве загрузчиков. При запуске модуль отображает PDF-приманку 
и одновременно записывает PowerShell-скрипт в каталог %userprofile%\Contacts, подготавливая его к дальнейшему выполнению. К набору образцов относится Письмо_в_АО_УАПО_запрос_РКМ_и_закл_ВП.scr. Тематика decoy-документа была связана с войсками национальной гвардии и оборонными заказами.

Отдельного внимания заслуживает обнаруженный архив Гуманитарная_помощь_накладные_июнь_2025_1.zip, в котором находились пять SCR-скриптов: четыре маскировались под Excel-книги, один — под изображение.

Каждый из файлов при запуске записывает на диск два компонента: PowerShell-скрипт в %userprofile%\Favorites\ и легитимный XLSX (в одном случае — картинку). Документы-приманки содержали информацию о поставках помощи для военных.

Инструментарий группировки претерпел изменения, повысив устойчивость к защитным механизмам. Наибольшие изменения затронули TMCDropper. Если ранее в нем применялась модульная схема с отдельными зашифрованными сегментами кода, то в актуальной версии наблюдается VM-based obfuscation — техника преобразования обычного кода в байт-код с добавлением многослойных уровней шифрования, что усложняет статический разбор, затягивает динамический и ломает сигнатурные эвристики, полагающиеся на стандартные конструкции PowerShell.

TMCShell изменился меньше: ключевое дополнение — проверка наличия файлов с расширением .ps1, препятствующая автоматическому запуску в виртуализированных песочницах и некоторых средах анализа, где загрузка скриптов проводится пакетно.

Компонент TMCShell получает конфигурацию с площадки telegra.ph: первая строка страницы содержит закодированный адрес центра управления, вторая — цифровую подпись для верификации полученного конфигурационного блока.

Такой вынос конфигурации на публичный веб-ресурс маскирует C2-трафик под легитимные HTTP-доступы и облегчает оперативное обновление инфраструктуры.

На момент анализа результирующий C2-сервер резолвился в IP-адрес 212.80.206[.]125, относящийся к AS44709 (O.M.C. Computers & Communications Ltd, Израиль).

Метаданные документов-приманок добавляют контекст к возможному происхождению инструментария. Все четыре Excel-файла были созданы и, вероятно, редактировались в WPS Office (офисном пакете компании Kingsoft) в операционной системе с китайской локалью. В поле Heading Pairs фигурировало значение «工作表, 1» («рабочий лист, 1»), тогда как для английской и русской локалей типичны значения Sheet1 или Лист1.

В течение III квартала фиксировалась устойчивая активность DarkGaboon против финансовых подразделений российских компаний. Вектор начального доступа — фишинговые письма с бухгалтерской повесткой и вложенными ZIP-архивами.

Внутри — документ-приманка и исполняемый файл с именами наподобие «Акт сверки», «Счет на оплату», оформленными под рутину документооборота.

Приманки собирают на основе шаблонов с легитимных сайтов (например, blanker.ru); ссылки на исходные домены отражены в метаданных DOCX.

Технически полезная нагрузка — PE-билды, маскируемые под офисные файлы, с иконками PDF или Excel. Для сокрытия логики группировка применяет упаковщики и протекторы: .NET Reactor, Themida. Злоумышленники, как и ранее, подписывают ВПО невалидными X.509-сертификатами, якобы выпущенными на российские юрлица, в попытке снизить настороженность на стороне пользователя.

Базовым RAT у DarkGaboon остается RevengeRAT; встречаются и сборки XWorm.

В III квартале группа киберразведки фиксировала фишинговую активность хакерской группировки Darkwatcman. Кампания ориентирована на русскоязычных адресатов и опирается на социальную инженерию: электронные письма под видом уведомлений государственных структур с архивом, внутри которого полезная нагрузка.

Цепочка атаки осталась прежней. После открытия архива жертва видит исполняемый файл с названием, повторяющим тему письма. При запуске SCR-файла происходит распаковка PowerShell-кейлоггера и вредоносного скрипта на JavaScript, а также запуск последнего через wscript.exe. Дополнительно пользователю выводится правдоподобное окно сбоя в стиле «<Имя файла> has stopped working», при этом вредоносный скрипт продолжает исполнение в фоне.

При первом запуске создается задача автозапуска в планировщике заданий и прописываются служебные параметры в реестр. Для снижения вероятности детектирования скрипт добавляет себя в исключения Microsoft Defender и, при наличии административных прав, чистит точки восстановления.

Получение адресов C2-сервера реализовано гибридно. Сначала агент перебирает жестко заданный список начальных доменов; при успешном соединении рабочий домен кэшируется в реестре.

Если кэш «умирает», включается DGA-механизм и происходит подбор пула валидных С2-серверов. Такой алгоритм устойчив к блокировкам и имеет возможность ежедневного перехода между TLD. Концептуально DGA у DarkWatchman известен со времени первоначальной публикации исследователей Prevailion в 2021 году и сохраняет общий вектор развития.

DGA сводится к детерминированной генерации имени по текущей дате. Строка даты нормализуется из формата вида «Sun, 28 Sep 2025 22:00:00 GMT» в «Sun28Sep2025», к ней конкатенируется постоянная соль (в рассматриваемом скрипте: d46ebd15) и счетчик i в диапазоне 1...99. Каждая полученная строка проходит через CRC-32, результат переводится в шестнадцатеричный формат и нижний регистр, с фиксированной длиной в 8 символов, без префиксов; затем имя комбинируется с одной из доменных зон из актуального набора. На практике это дает ежедневно по сотне и более кандидатов на зону; доменные зоны и мелкие участки кода варьируются от семпла к семплу, но формат имени и сама механика «CRC-32 от дата + соль + счетчик» остаются неизменными.

Кейлоггер реализован отдельно и хранится в реестре в XOR-кодировке; его запуск инициируется тихим PowerShell-процессом в режиме скрытого окна с переданным в Base64 фрагментом (powershell.exe -enc ...).

В свою очередь, вредоносный скрипт на JavaScript выгружает собранные кейлоггером нажатия на C2-сервер.

На протяжении III квартала 2025 года группа киберразведки фиксировала атаки группировки Fluffy Wolf. Злоумышленники рассылали фишинговые письма с вредоносным ПО внутри архивов. В конце сентября — начале октября был отмечен сдвиг тактики: вместо вложенных архивов в письмах стали прикладывать изображение «документа» со встроенным URL, по которому скачивается архив с полезной нагрузкой.

Тема рассылки — бухгалтерский документооборот и ожидание обмена закрывающими документами; типовые темы писем формулировались в стиле «Акт сверки взаиморасчётов № ... от ...».

При разборе исходных .eml-файлов выявлена подмена: поле заголовка To формально указывает на целевого адресата, тогда как фактический получатель определяется по цепочке Received и не совпадает с отображаемым. Первичный вектор начинается с открытия такого письма и перехода по ссылке из прикрепленного изображения. По указанному URL загружается архив. При этом корень домена намеренно оставляют пустым: операторы не размещают HTML и статические файлы, из-за чего показывается дефолтная заглушка хостинг-провайдера. При беглой проверке создается впечатление легитимного, но неиспользуемого ресурса, тогда как полезная нагрузка доступна по глубокому прямому пути, известному только из письма.

Архив распаковывается локально, из него запускается исполняемый файл-приманка с маскирующим именем 1C_buh_doc_08102025_PDF.com, визуально имитирующий PDF-документ.

Исполняемый файл является загрузчиком PureCrypter и с помощью штатной .NET-утилиты InstallUtil.exe подтягивает и запускает следующий стейдж. Параллельно разворачиваются вторичные компоненты, среди которых модуль hVNC для скрытого удаленного доступа и элементы с функциями кражи браузерных учетных данных. Полезная нагрузка профилирует окружение для отбора узлов: считывает имя компьютера и MachineGuid, обращается к веткам реестра Microsoft Office и политикам, проверяет системные прокси-параметры и региональные параметры.

Закрепление реализовано без усложнения: вторичные исполняемые файлы создаются в пользовательских каталогах и прописываются в автозапуск через папку Startup, после чего при следующем входе пользователя в систему модули стартуют автоматически.

В прошлой квартальной статье была описана фишинговая кампания хакерской группировки BO Team в адрес организаций транспортно-логистической сферы. В этом квартале группировка продолжает атаковать структурные подразделений компаний данного сектора. Фокус остался прежним: целевые рассылки с бизнес-повесткой.

Фишинговые письма рассылались от имени страховой компании, темой стали обязательства по оказанию медицинских услуг в рамках ДМС. К каждому сообщению прикладывался запароленный архив, внутри которого находились образцы бэкдора BrockenDoor.

Примечательная деталь текущей волны: операторы часто вкладывали в один зашифрованный архив сразу несколько идентичных образцов, различавшихся только документами-приманками. Такая избыточность повышает шансы на успешный запуск.

Также в письмах группировка применяла легитимные инструменты отслеживания прочтения, такие как «ТрексПекс». Это позволяет операторам видеть долю просмотров относительно общего числа отправленных сообщений, фиксировать, сколько раз конкретное письмо открывали, и получать временные метки каждого доступа к нему. На практике такая телеметрия помогает оценивать вовлеченность адресатов и приоритизировать дальнейшие действия по тем контактам, где вероятность запуска вложений выше.