Анализ активности хакерских группировок, IV квартал 2025 г.

В IV квартале 2025 года департамент Threat Intelligence PT ESC продолжил мониторинг активности хакерских группировок, нацеленных на российские организации. В рамках отчетного периода внимание было сосредоточено на выявлении и сопоставлении повторяющихся паттернов атак, техник и семейств вредоносного ПО с ретроспективой предыдущих кварталов и лет (для более точной фиксации преемственности инструментов и изменений в тактике). Такой подход позволяет не только описывать отдельные инциденты, но и подтверждать устойчивые паттерны группировок на примере сопоставимых цепочек, как это показано в материалах по APT31 и NetMedved.

Параллельно анализировалась эволюция инструментария группировок в динамике отчетного года, включая изменения в составе инструментов, способах закрепления и скрытного управления, а также в подходах к получению первичного доступа. Наиболее показательным примером в этой части является ExCobalt, для которой характерна регулярная модификация компонентов и адаптация техник под конкретные инфраструктуры и условия эксплуатации. Отдельно фиксировались кейсы активности группировок, ранее не проявлявших выраженного фокуса на российском направлении, включая кампании Silver Fox с использованием фишинговых уведомлений от государственных ведомств.

Накопленные наблюдения по инцидентам и инструментарию дополняются анализом общей динамики за 2025 год: рост числа компьютерных атак и увеличение объема уникальных вредоносных семплов, ассоциированных с APT-группировками, указывают на ускорение цикла разработки и модификации вредоносного ПО. Одним из факторов, влияющих на эту тенденцию, является расширение возможностей по созданию и адаптации кода с использованием больших языковых моделей, которые упрощают разработку и повышают вариативность реализаций при сохранении типовых тактик и техник.

Больше информации об активности кибергруппировок можно получить на нашем портале PT Fusion.

С учетом указанных тенденций настоящая квартальная справка обобщает наблюдения по двум основным направлениям — по шпионской активности и финансово мотивированным атакам — и содержит краткие описания цепочек компрометации, используемых инструментов и ключевых индикаторов.

В IV квартале 2025 года специалисты PT ESC по результатам расследований и сопоставления эпизодов за 2024–2025 годы связали часть целевых атак на российский IT-сектор с APT31, восстановили используемые тактики и техники, а также выявили ряд уникальных инструментов. Были отмечены два подтвержденных эпизода, отражающих получение и развитие доступа к инфраструктурам организаций:

• декабрь 2024 года: APT31 использовала таргетированный фишинг с сопроводительным письмом якобы от менеджера по закупкам; во вложении — вредоносный архив «Требования.rar» с LNK-файлом, который запускал документ-приманку и CloudyLoader (загрузчик Cobalt Strike);
• июль 2025 года: установлено, что злоумышленники имели доступ к инфраструктуре уже с конца 2022 года, а развитие атаки началось в новогодние праздники 2023 года.

После получения доступа к инфраструктуре APT31 переходила к сбору информации о среде и активности пользователей. Для этого применялись утилиты и скрипты, извлекающие данные из журналов Windows, а также вспомогательные инструменты для получения данных из браузеров, поиска файлов и извлечения пользовательских заметок (например, SharpADUserIP/SharpChrome/StickyNotesExtract). Инвентаризация сети и первичная сетевая разведка выполнялись с использованием Advanced IP Scanner.

Опираясь на результаты разведки, злоумышленники развивали доступ внутри периметра: создавали учетную запись локального администратора и использовали ее для перемещения между узлами, в том числе через RDP и инструменты WmiExec/SmbExec. Для получения учетных данных применялись как техники pass the hash, так и выгрузка веток реестра с последующим извлечением секретов с помощью secretsdump.py.

Устойчивость обеспечивалась за счет использования планировщика задач Windows: задания маскировались под легитимные, применялась техника скрытых задач — с удалением SecurityDescriptor в ветках TaskCache и удалением XML-файлов заданий из C:\Windows\System32\Tasks. Скрытное управление и обмен данными строились на легитимных веб-сервисах и облачных платформах с использованием зашифрованных туннелей через Tailscale и Microsoft dev tunnels. Следы активности на узлах скрывались среди прочего путем очистки журналов Windows с использованием wevtutil.

Как пример одной из зафиксированных цепочек: жертве приходит фишинговое письмо «от менеджера по закупкам» с архивом «Требования.rar».

Внутри архива находятся LNK-файл и PDF-документы-приманки.

При открытии ярлыка выполняется встроенная команда:

Команда копирует вложенные файлы в C:\Users\Public\Downloads, открывает каталог с содержимым для создания видимости легитимного контекста, затем переименовывает два PDF в компоненты запуска (Company.pdf → nau.exe, Requirements.pdf → BugSplatRc64.dll) и запускает получившийся nau.exe. Далее реализуется DLL sideloading: при старте nau.exe подгружается библиотека BugSplatRc64.dll из того же каталога, в котором размещен вредоносный код. Исполнение полезной нагрузки инициируется не сразу: сначала реализуется перехват WinAPI-функции из семейства Message API, а уже в обработчике перехвата запускается основная логика вредоносного модуля.

Более подробное описание цепочки атаки, используемого вредоносного ПО и инфраструктуры приведено в статье «Атаки разящей панды: APT31 сегодня».

ExCobalt сохраняет высокую интенсивность атак на российские организации, постоянно модифицируя свои средства и техники и адаптируя их под конкретные инфраструктуры и задачи. В IV квартале 2025 года специалисты PT ESC обобщили результаты расследований и разобрали обновленный инструментарий группы.

На входе в инфраструктуру ExCobalt все чаще делает ставку на более тихие способы получения первичного доступа: компрометацию подрядчиков и доступ через опубликованные RDP-сервисы.

В атаках применяется связка средств:

• для удаленного управления и постэксплуатации используется бэкдор Cobint;
• для построения каналов связи и маршрутизации трафика — сетевые туннели GSocket и Revsocks;
• для шифрования инфраструктуры — Babuk для узлов Linux и гипервизоров VMware ESXi и LockBit для узлов Windows.

По мере развития доступа ExCobalt делает акцент на получении учетных данных и захвате доверенных каналов. В частности, используются техники компрометации Telegram через кражу каталога tdata на устройстве жертвы с последующей компрометацией учетной записи.

Также применяется стилер для Outlook Web Access, где вредоносный код внедряется в компонент Flogon, перехватывает учетные данные на этапе ввода и затем передает их злоумышленникам.

Один из способов закрепления в атакованной инфраструктуре, ранее не наблюдавшийся в арсенале ExCobalt, — размещение шеллов в виде отдельных файлов с расширением .epf, которые реализуют механизм внешних обработок в программных продуктах «1С». Такой подход позволяет злоумышленникам выполнять команды в среде «1С» — и сохранять контроль над атакованной средой за счет эксплуатации ее собственных механизмов.

В Linux-сегментах ExCobalt делает ставку на долговременную устойчивость и скрытность, развивая собственные компоненты. Ключевую роль играет руткит уровня ядра PUMAKIT, который маскирует присутствие и поддерживает скрытое управление. В практической реализации используются приемы исполнения без записи на диск, перехват системных вызовов для сокрытия артефактов и извлечения чувствительных данных, а также скрытые механизмы закрепления, включая подмешивание ключа в authorized_keys в оперативной памяти без изменения файла на диске. Управление реализуется через нетривиальный канал с использованием перехваченных системных функций и командных маркеров.

В качестве альтернативного и дополняющего механизма закрепления на Linux применяется инструмент Octopus, который решает задачи повышения привилегий и персистентности за счет модификации легитимных бинарных файлов и сервисов. Он включает набор эксплойтов для локального повышения привилегий и имеет функции внедрения полезной нагрузки в системные компоненты, включая модификацию легитимных утилит и патчинг бинарных файлов. Полезная нагрузка хранится внутри инструмента во встроенном виде, что повышает автономность и снижает зависимость от внешней доставки на этапе закрепления.

Более подробное описание инструментария ExCobalt, а также технические детали по каждому из перечисленных компонентов приведены в статье «(Ex)Cobalt. Обзор инструментов группы в атаках за 2024–2025 годы».

В IV квартале 2025 года специалисты PT ESC в ходе расследования двух инцидентов в российских компаниях сопоставили артефакты атак и отнесли часть активности к QuietCrabs.

Для этой группировки характерна работа по модели массового сканирования интернет-сервисов организаций и последующей эксплуатации «RCE-уязвимости энного дня»: после появления публичных и работоспособных PoC и эксплойтов группа в сжатые сроки переходит к практической эксплуатации уязвимых сервисов, что сокращает окно между публикацией и реальной атакой и повышает требования к оперативному патчингу и регулярной проверке внешних сервисов на наличие незакрытых уязвимостей.

В одном из эпизодов злоумышленники эксплуатировали связку уязвимостей в Ivanti Endpoint Manager Mobile (CVE-2025-4427 и CVE-2025-4428), организуя удаленное выполнение команд с выводом результата в файл с расширением .jpg в веб-каталоге и дальнейшим считыванием этого вывода по HTTP.

Во втором эпизоде была зафиксирована эксплуатация уязвимости CVE-2025-53770 в Microsoft SharePoint, после чего развитие атаки на сервере происходило в таком порядке:

• размещение веб-шелла для удаленного выполнения команд;
• доставка и запуск загрузчика;
• развертывание импланта;
• установление соединения с C2-сервером.

На сервере SharePoint был размещен ASPX-веб-шелл, принимающий GET-параметры cmd и timeout и возвращающий результат выполнения команды; выполнение организовано через кодирование команды в Base64 и запуск посредством ScriptRunner.exe, а вывод записывался в файл в каталоге SharePoint, откуда веб-шелл считывал результаты и отдавал оператору.

Перед переходом к следующей стадии злоумышленники выполняли проверки работоспособности узла, включая получение внешнего IP-адреса и тест записи в каталог, после чего загружали KrustyLoader во внешний доступный путь и инициировали его выполнение.

KrustyLoader выступает в роли промежуточного загрузчика на Rust: он расшифровывает ссылку на полезную нагрузку, загружает ее и запускает через внедрение в целевой процесс. В наблюдаемых образцах отмечаются характерные признаки поведения: самокопирование и релокация в %TEMP% с шаблонами имен, содержащими маркеры __selfdelete__ и __relocated__, использование файла C:\Users\Public\Downloads\0 как параметра задержки, многоступенчатая расшифровка URL, а также внедрение в explorer.exe с запуском через RtlCreateUserThread и альтернативные ветки, допускающие загрузку дополнительной полезной нагрузки с последующим внедрением в другой процесс.

Финальной полезной нагрузкой в рассмотренной цепочке выступал Sliver — кроссплатформенный имплант для удаленного управления.

Более подробное описание тактик и техник QuietCrabs, а также разбор этапов атаки и инструментария приведены в статье «Dragons in Thunder».

В течение IV квартала 2025 года Rare Werewolf проявляла активность против организаций из различных отраслей, используя универсальные легенды, привязанные к типовым бизнес-процессам — оформлению оплаты и договоров, актов, закупочной документации. Первичная доставка строилась на фишинговых письмах, стилизованных под продолжение деловой переписки или служебное уведомление, с вложением запароленного архива и передачей пароля в тексте сообщения.

После открытия вложения жертва получала «комплект документов»: документ-приманку в DOCX или PDF и исполняемый файл, замаскированный под «смету», «акт», «запрос» или «пакет документов».

При запуске исполняемого файла распаковывались скрипты, легитимные утилиты и вспомогательные компоненты, обеспечивающие дальнейшую цепочку исполнения. Сразу после старта пользователю открывалась приманка для отвлечения внимания, а параллельно загружалась следующая стадия в виде архива и распаковывалась средствами, доставленными на первом этапе.

На узел устанавливался AnyDesk, для закрепления компоненты добавлялись в автозагрузку, а конфигурационные данные AnyDesk из профиля пользователя и ProgramData упаковывались в архивы и эксфильтрировались через консольную почтовую утилиту с использованием заданного SMTP-сервера, что обеспечивало сохранение и восстановление доступа к удаленным сессиям.

Применяемая тактика соответствует наблюдениям предыдущего периода и не претерпела принципиальных изменений.

В IV квартале 2025 года группа киберразведки TI-департамента фиксировала фишинговую активность группировки PseudoGamaredon в адрес правительственного сектора и военно-промышленного комплекса.

Рассылка осуществлялась через электронные письма с архивами-приманками; внутри вложений размещался вредоносный исполняемый файл, а тематика сообщений имитировала официальную корреспонденцию и мобилизационно-учетную документацию.

После открытия замаскированного вредоносного ПО запускается цепочка, сочетающая документ-приманку и автоматизированное развертывание средств удаленного управления.

При запуске пользователем исполняемый файл разворачивает в системе компоненты первого стейджа (dilemma.cmd, распаковщик concrete.exe, архив conserve.rar) и запускает dilemma.cmd.

Скрипт распаковывает conserve.rar во внешний каталог пользователя, после чего запускает компоненты второго стейджа — nasty.cmd, grip.cmd и Teloversync.exe (UltraVNC).

Nasty.cmd выполняет подготовку окружения и закрепление: формирует конфигурационный файл UltraVNC, задавая параметры скрытности и удобства удаленного администрирования, после чего запускает grip.cmd. Дополнительно nasty.cmd закрепляется в системе через планировщик задач, регистрируя периодический запуск в скрытом режиме, чтобы цепочка регулярно восстанавливалась и перезапускала полезную нагрузку.

Grip.cmd отвечает непосредственно за запуск удаленного доступа и сетевую часть. Скрипт принудительно завершает ранее запущенный процесс Teloversync.exe, выполняет повторяющиеся проверки сетевой доступности через nslookup с паузами, формирует идентификатор узла на основе серийного номера системного диска и затем запускает Teloversync.exe с параметрами автоподключения к удаленному узлу управления по TCP-порту 443.

В результате на зараженной рабочей станции разворачивается устойчивый интерактивный удаленный доступ через UltraVNC, который поддерживается за счет регулярного перезапуска через планировщик заданий Windows.

Группа киберразведки в IV квартале 2025 года фиксировала фишинговую кампанию группировки Werewolves. Злоумышленники применяли стеганографию для скрытой доставки загрузчика и выстраивали многоступенчатую цепочку исполнения, завершающуюся запуском Cobalt Strike Beacon в памяти.

Первоначальный доступ реализуется через фишинговое письмо
с вложенным архивом, внутри которого размещены размытое изображение-приманка «досудебное.png» и ярлык «сверка.lnk».

Открытие ярлыка приводит к запуску PowerShell с параметрами скрытого окна и обходом политики выполнения.

Команда читает байты изображения, извлекает XOR-ключ из 145-го байта, находит в ASCII-представлении PNG-файла последний маркер чанка IDAT, затем декодирует данные, расположенные после него, сохраняет результат во временный каталог как %TEMP%\yVLQbWaX.exe — и запускает файл в скрытом режиме. Тем самым изображение используется как контейнер для бинарного стейджа; подход с извлечением полезной нагрузки из сегмента IDAT концептуально повторяет известный класс решений типа IDAT loader.

Далее запущенный yVLQbWaX.exe обращается к ezstat[.]ru/flowersforlove.gif; домен перенаправляет на контролируемый злоумышленниками ресурс valisi[.]ru, где размещен вредоносный HTA-файл. HTA-файл выполняется системной утилитой mshta.exe и содержит код на VBScript, который инициирует очередной запуск PowerShell: он распаковывает Base64-строку в gzip-данные с последующей распаковкой и запускает результат. Итоговый шеллкод соответствует Cobalt Strike Beacon; финальная стадия реализует бесфайловое выполнение в оперативной памяти за счет рефлективной загрузки.

Группа киберразведки в октябре 2025 года зафиксировала продолжающуюся фишинговую активность группировки NetMedved, нацеленную на российские организации. В качестве конечной полезной нагрузки используется вредоносная сборка легитимного средства для удаленного администрирования NetSupport Manager (NetSupportRAT).

Первоначальный доступ реализуется через фишинговые рассылки с архивами, содержащими набор документов-приманок, имитирующих типовой документооборот российских компаний (карточки контрагентов, приказы о назначении, свидетельства о постановке на учет), а также замаскированный вредоносный LNK-файл, оформленный под очередной сопроводительный файл.

На рабочей станции жертвы LNK-файл запускает PowerShell в скрытом режиме, причем существенная часть логики вынесена прямо в командную строку ярлыка: это характерная особенность кампании.

Выполняются проверки, направленные на противодействие анализу:

• По процессам: поиск работающих инструментов отладки и мониторинга (Procmon/Procmon64, Process Hacker, x64dbg/x32dbg, Wireshark, Fiddler, IDA).
• По аппаратным признакам: выход при количестве логических процессов меньше 2 или разрешении экрана ниже порогов (ширина менее 800, высота менее 600).

При успешном прохождении проверок цепочка переходит к следующему шагу — развертыванию полезной нагрузки: PowerShell-сценарий создает рабочий каталог в LocalAppData, скачивает ZIP-архив, замаскированный под PDF, распаковывает его штатными средствами, открывает документ-приманку и параллельно запускает NetSupportRAT, после чего создает задачу в планировщике заданий Windows для автозапуска модуля при входе пользователя. В составе распакованного набора, помимо бинарных компонентов, присутствует конфигурационный файл client32.ini, в котором жестко заданы домены для подключения к серверам управления.

К концу октября — началу ноября 2025 года операторы расширили инфраструктуру и, помимо варианта с PowerShell-скриптом, использовали альтернативный способ получения и исполнения промежуточного командного блока, который запускает ту же логику развертывания полезной нагрузки: LNK-файл запускает cmd.exe, выполняет запрос finger к узлу api.metrics-strange[.]com и перенаправляет вывод команды напрямую в cmd для немедленного исполнения.

На этом этапе снова выполняются проверки против анализа, затем создается случайный путь в LocalAppData, через where находится легитимный curl, сохраняется его копия под случайным именем, выполняются загрузка ZIP-архива (маскировка под PDF), распаковка встроенной утилитой tar, открытие приманки и запуск NetSupportRAT через rundll32, после чего создается задача в планировщике для закрепления.

Более подробное описание цепочки атаки, используемого вредоносного ПО приведено в статье «„Медвед“ атакует: что мы узнали про фишинговую кампанию группировки, нацеленной на российские организации».

Группа киберразведки департамента Threat Intelligence PT ESC зафиксировала фишинговую кампанию финансово мотивированной группировки Silver Fox.

В ходе исследования были обнаружены атаки на несколько российских банков: письма рассылались с домена onmbv[.]com, зарегистрированного 14 сентября 2025 года и используемого в качестве инфраструктурной базы для рассылки. Сообщения имитировали уведомления якобы от ФНС о налоговой проверке и побуждали получателей скачать «пакет документов» во вложенном архиве.

Архивы содержали набор файлов, включая исполняемый файл, несколько DLL и PNG-файлов, при этом ключевую роль в цепочке играли три объекта — исполняемый файл-декой с PDF-иконкой, библиотека QQMusicCommon.dll и изображение 9LmcIWuG.png. Исполняемый файл сам по себе не содержал вредоносной логики и использовался как контейнер запуска, а также как элемент социальной инженерии; на VirusTotal он встречался под разными названиями и загружался из разных регионов, включая Россию и Тайвань.

Дальнейшая эксплуатация строилась на технике DLL sideloading. При запуске исполняемый файл подгружал QQMusicCommon.dll, маскирующуюся под компонент популярного китайского сервиса QQ Music. Библиотека была обфусцирована, и в итоге выполняла роль дроппера: она считывала и расшифровывала полезную нагрузку из PNG-файла 9LmcIWuG.png и запускала полученный модуль. Таким образом, основная вредоносная функциональность доставлялась скрытно, а контейнером для полезной нагрузки выступало изображение.

Во всех выявленных на российском направлении случаях финальной полезной нагрузкой являлся ValleyRAT, для связи с управляющей инфраструктурой использовался C2-сервер на IP-адресе 207.56.138[.]28. ValleyRAT представляет собой троян удаленного доступа на C++, позволяющий злоумышленникам выполнять удаленные команды, наблюдать за активностью на устройстве, похищать данные и доставлять дополнительные модули. По ряду оценок, он функционально близок к семейству Gh0st RAT, но рассматривается как отдельное ПО со схожими возможностями, активно распространяемое с 2023 года через фишинг и поддельные установщики.

Параллельно в ходе анализа были выявлены многочисленные архивы, ориентированные на индийские организации и использующие схожую легенду от имени Central Board of Direct Taxes. Для части индийских артефактов использовалась та же инфраструктура управления, однако был обнаружен также дополнительный C2-сервер 108.187.37[.]85, характерный преимущественно для индийского трека. Независимо от конкретного C2-сервера цепочка оставалась неизменной: архив с декойным .exe-файлом, загрузка вредоносной DLL через DLL sideloading и извлечение ValleyRAT из изображения. Отдельные загрузки фиксировались также из Непала и Индонезии, но основной массив артефактов относился к Индии; активность против индийских компаний началась раньше, чем против российских, и датируется началом декабря 2025 года.

С учетом повторяемых техник, используемого стека и инфраструктурных признаков, а также ранее описанных кейсов использования ValleyRAT в финансово мотивированных цепочках наиболее вероятной является атрибуция активности группировке Silver Fox, известной многоступенчатыми цепочками доставки с применением sideloading и скрытой упаковки полезной нагрузки.

В декабре 2025 года группа киберразведки TI-департамента фиксировала массовую фишинговую рассылку группировки Hive0117. Кампания была ориентирована на организации строительного сектора и использовала типовую легенду с документами во вложении и паролем к архиву в теле письма.

Механика заражения соответствует цепочке, описанной специалистами PT ESC ранее, и принципиально не изменилась.

После открытия запароленного архива пользователь видит исполняемый файл, название которого повторяет тему письма. При запуске исполняемого SCR-файла происходит распаковка PowerShell-кейлоггера и вредоносного JavaScript-скрипта, после чего JavaScript-код запускается через wscript.exe. Для маскировки активности пользователю дополнительно показывается правдоподобное окно ошибки, тогда как вредоносный скрипт продолжает исполняться в фоновом режиме.

Далее вредоносное ПО осуществляет закрепление: при первом запуске создается задача на автозапуск в планировщике заданий и прописываются служебные параметры в реестре. Для снижения вероятности детектирования скрипт добавляет себя в исключения Microsoft Defender и, при наличии административных прав, очищает точки восстановления.

Управляющая инфраструктура выбирается гибридно: сначала агент перебирает жестко заданный список стартовых доменов и кэширует «рабочий» домен в реестре, а при недоступности кэша переходит к генерации доменов через DGA-механизм и подбору пула валидных C2-серверов. Кейлоггер хранится в реестре в XOR-кодировке и запускается «тихим» PowerShell-процессом в скрытом режиме с передачей полезного фрагмента в Base64 через powershell.exe, после чего JavaScript-код выгружает собранные нажатия на сервер управления.