Новая тактика APT-группы PhantomCore: она включает фишинг от лица российского МИД с заражением KermitRAT
Российские предприятия в апреле 2026 года столкнулись с новой волной фишинга от APT-группы PhantomCore. Злоумышленники маскировались под официальные сообщения МИД РФ о визите делегации Корейской Народно-Демократической Республики. Письма содержали PDF-файл с «порядком визита» и zip-архив, внутри которого скрывался троян KermitRAT. После запуска вредонос собирал данные системы, похищал файлы и выполнял удаленные команды. Специалисты F6 подтвердили авторство PhantomCore по TTPs, инфраструктуре Mattermost, AI-платформе Cyberstrike AI и артефактам на украинском языке.
APT-группа PhantomCore начала рассылать российским компаниям письма от лица Министерства иностранных дел России. Предлогом для сообщений был якобы визит делегации Корейской Народно-Демократической Республики на территорию предприятий. В письмах содержались два файла: документ-приманка в формате PDF и zip-архив, содержащий троян удалённого доступа. О появлении новой тактики в арсенале PhantomCore сообщили SecPost в F6.
В начале апреля 2026 года система защиты F6 Business Email Protection перехватила и заблокировала фишинговые письма, направленные с домена ministerstvo-inostrannykh-del[.]ru в адрес нескольких российских промышленных компаний. Письма маскировались под сообщения от МИД РФ о планируемом приезде делегации из Корейской Народно-Демократической Республики для «обмена опытом» и «развития двустороннего сотрудничества».
Письма содержали PDF-файл и zip-архив. PDF-файл маскировался под фейковое сопроводительное письмо, которое сообщает «порядок организации проведения визита». Zip-архив защищён паролем, который содержится в тексте письма. При его открытии используется ещё один текстовый файл, отвлекающий внимание жертвы, — он замаскирован под письмо руководителя компании.
Как поясняют в F6, при запуске этих файлов компьютер заражается трояном удалённого доступа. Он позволяет злоумышленникам собирать информацию о системе жертвы, похищать файлы и выполнять удалённые команды. Вредонос также был выявлен в апреле 2026 года и получил название KermitRAT.
Специалисты смогли исследовать сетевую инфраструктуру злоумышленников — они обнаружили следы использования платформы для коммуникаций Mattermost и AI-платформы для автоматизированного тестирования Cyberstrike AI. В компании уточняют, что Mattermost уже ранее был выявлен в кампаниях группировки PhantomCore.
Совокупность выявленных признаков, включавших анализ TTPs, характерных для этой группировки, изучение вредоноса, а также анализ сетевой инфраструктуры и сетевых отпечатков, как отмечают в F6, указывает, что атака с высокой степенью достоверности может быть атрибутирована PhantomCore. Также отмечается, что были обнаружены артефакты в виде комментариев на украинском языке.
В F6 называют PhantomCore «одной из главных киберугроз для российских и белорусских компаний». Впервые она была выявлена в 2024 году, но самые первые атаки группировка провела ещё в 2022 году. Среди отличительных черт — использование ВПО собственной разработки, а также нестандартные способы доставки вредоносов в атакуемые системы.
В 2026 году эксперты Positive Technologies отслеживали деятельность 123 киберпреступных группировок. Как писал SecPost, к наиболее активным относились Rare Werewolf, Lifting Zmiy, Cyber Partisans, Silent Crow, TA558 — и PhantomCore.
Читайте также
