Эксперты Positive Technologies выявили новые атаки хакерской группировки CapFix, продолжавшиеся с конца 2025 года по март 2026-го. Хакеры использовали усовершенствованные инструменты и скомпрометированную инфраструктуру, доступ к которой, вероятно, получили через эксплуатацию критически опасной уязвимости в почтовом веб-клиенте Roundcube Webmail. Анализ атак, проводимых осенью 2025 года, показал, что целью злоумышленников были российские компании из сфер промышленности и авиастроения.
В декабре 2025-го специалисты департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC TI) обнаружили хакерскую кампанию против российских организаций. Эксперты выяснили, что за вредоносной активностью стоит группировка CapFix, которая атаковала пользователей с помощью фишинговых писем. Они содержали PDF- или HTML-файлы, внутри которых находились ссылки для скачивания архивов со зловредной нагрузкой. Вложения были замаскированы преимущественно под официальные сообщения от государственных структур.
Исследование показало, что во время атак осенью 2025 года группировка направляла фишинговые письма российским компаниям, работающим в сфере промышленности и авиастроения.
Значительно повышало эффективность атак и то, что хакеры использовали скомпрометированные серверы для рассылки вредоносных файлов от имени доверенных источников. Эксперты предполагают, что злоумышленники получили к ним доступ через эксплуатацию критически опасной уязвимости в почтовом веб-клиенте Roundcube Webmail (CVE-2025-49113, оценка по шкале CVSS — 9,9).
В новых атаках группировка применяет усовершенствованную версию вредоносного ПО CapDoor. Этот инструмент служит одной из ступенью заражения и позволяет загружать на устройства жертв дополнительные вредоносные модули, например программу для удаленного доступа SectopRAT. Анализ показал, что CapDoor обладает расширенной функциональностью: он может собирать информацию о зараженной системе, делать снимки экрана и загружать файлы различных форматов по команде операторов.
Кроме того, специалисты обнаружили более ранние образцы вредоноса, при доставке которых для маскировки использовалась криптовалютная тематика. В ноябре 2025 года более 10 подобных образцов ВПО были загружены в публичные песочницы пользователями из Мексики, США, Нидерландов, Франции и других стран. Помимо этого, были найдены фишинговые сайты с техникой ClickFix, имитирующие сервисы бронирования отелей.
