ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Группа угроз, известная как UnsolicitedBooker, была замечена в атаках на телекоммуникационные компании в Кыргызстане и Таджикистане, что свидетельствует об изменении направления атак по сравнению с предыдущими атаками, направленными на организации Саудовской Аравии.

Согласно отчету, опубликованному Positive Technologies на прошлой неделе, в ходе атак используются два различных бэкдора под кодовыми названиями LuciDoor и MarsSnake.

«Группа использовала несколько уникальных и редких инструментов китайского происхождения», — заявили исследователи Александр Бадаев и Максим Шаманов.

UnsolicitedBooker был впервые задокументирован ESET в мае 2025 года, когда эта связанная с Китаем угроза была приписана кибератаке на неназванную международную организацию в Саудовской Аравии с использованием бэкдора под названием MarsSnake. По оценкам, группа действует по крайней мере с марта 2023 года и имеет историю атак на организации в Азии, Африке и на Ближнем Востоке.

Дальнейший анализ угрозы выявил тактические совпадения с двумя другими кластерами, включая Space Pirates и пока не идентифицированную кампанию, направленную против Саудовской Аравии с использованием другого бэкдора под названием Zardoor.

Последний набор атак, задокументированный российским поставщиком услуг кибербезопасности, был направлен против киргизских организаций в конце сентября 2025 года с помощью фишинговых писем, содержащих документ Microsoft Office, который при открытии предлагает получателям «включить содержимое», чтобы запустить вредоносный макрос.

В то время как документ отображает тарифный план телекоммуникационного провайдера для жертвы, макрос незаметно запускает загрузчик вредоносного ПО на языке C++ под названием LuciLoad, который, в свою очередь, доставляет LuciDoor. Другая атака, наблюдавшаяся в конце ноября 2025 года, использовала тот же метод, только на этот раз был использован другой загрузчик под кодовым названием MarsSnakeLoader для развертывания MarsSnake.

Согласно последним данным, в январе 2026 года UnsolicitedBooker использовал фишинговые электронные письма в качестве вектора для атак на компании в Таджикистане. Хотя общая цепочка атак осталась прежней, в сообщениях были встроены ссылки на документы-приманки, а не непосредственно вложенные файлы.

Написанный на C++, LuciDoor устанавливает связь с командно-контрольным сервером (C2), собирает основную информацию о системе и передает данные на сервер в зашифрованном формате. Затем он анализирует ответы, отправленные сервером, для запуска команд с помощью cmd.exe, записи файлов в систему и загрузки файлов.

MarsSnake, аналогично, позволяет злоумышленникам собирать метаданные системы, выполнять произвольные команды и читать или записывать любые файлы на диске.

Positive Technologies сообщила, что также обнаружила признаки использования MarsSnake в атаках, направленных против Китая. Отправной точкой является ярлык Windows, маскирующийся под документ Microsoft Word (*.doc.lnk), который запускает пакетный скрипт для запуска скрипта Visual Basic, который затем запускает MarsSnake без компонента загрузчика.

Предполагается, что файл-приманка основан на файле LNK, связанном с общедоступным инструментом для пентестинга под названием FTPlnk_phishing, из-за идентичного времени создания файла LNK и индикаторов Machine ID. Стоит отметить, что аналогичный файл LNK был использован группой Mustang Panda в атаках, направленных против Таиланда в 2022 году.

«В своих атаках группа использовала редкие инструменты китайского происхождения», — сообщила компания Positive Technologies. «Интересно, что в самом начале группа использовала бэкдор, который мы назвали LuciDoor, но позже перешла на бэкдор MarsSnake. Однако в 2026 году группа развернулась на 180 градусов и возобновила использование LuciDoor».

«Кроме того, по крайней мере в одном случае мы наблюдали, как злоумышленники использовали взломанный маршрутизатор в качестве C2-сервера, а их инфраструктура в некоторых атаках имитировала инфраструктуру России».

PseudoSticky и Cloud Atlas нацелены на Россию

Это раскрытие происходит в то время, когда ранее неизвестный злоумышленник намеренно копирует тактику проукраинской хакерской группы Sticky Werewolf (также известной как Angry Likho, MimiStick и PhaseShifters) для атак на российские организации в сфере розничной торговли, строительства и исследований с помощью вредоносных программ, таких как RemcosRAT и DarkTrack RAT, с целью комплексного кражи данных и удаленного управления.

Новая группа, известная как PseudoSticky, действует с ноября 2025 года. Жертвы обычно заражаются фишинговыми электронными письмами, содержащими вредоносные вложения, которые приводят к развертыванию троянцев. Есть признаки того, что злоумышленник полагался на большие языковые модели (LLM) для разработки цепочек атак, которые запускают DarkTrack RAT через PureCrypter.

«Более тщательный анализ показывает различия в инфраструктуре, реализации вредоносного ПО и отдельных тактических элементах, что позволяет нам предположить, что между группами, скорее всего, нет прямой связи, а речь идет о намеренном подражании», — заявила российская компания F6, занимающаяся вопросами безопасности.

Российские организации также стали мишенью другой хакерской группы под названием Cloud Atlas, которая использует фишинговые электронные письма с вредоносными документами Word для распространения специального вредоносного ПО, известного как VBShower и VBCloud.

«При открытии вредоносный документ загружает удаленный шаблон из C2, указанный в одном из потоков документа», — заявила компания Solar, занимающаяся кибербезопасностью. «Этот шаблон использует уязвимость CVE-2018-0802. Затем происходит загрузка вредоносного файла с альтернативными потоками, т. е. VBShower».