Хакерская группа Geo Likho провела более 200 атак на российские организации за последние семь месяцев
«Лаборатория Касперского» выявила хакерскую группу Geo Likho, которая совершает целевые атаки на российские организации, преимущественно в авиационной отрасли и судоходных компаниях, а также в госсекторе, образовании и промышленности. Как сообщили SecPost в компании, в 2026 году группа сосредоточилась главным образом на России.
Среди отличительных черт злоумышленников — создание уникальных вредоносов под каждую цель и использование VBE-скриптов, что нетипично для современных атак. Как сообщили в компании, атакующие стремятся надолго закрепиться в инфраструктуре жертвы, от нескольких недель до месяцев, для наблюдения и хищения данных.
Ретроспективный анализ позволяет отнести к Geo Likho кампании со шпионским троянцем Batavia, которые «Лаборатория Касперского» исследовала с марта 2025 года.
В качестве вектора первоначального доступа используется целевой фишинг: жертве присылают письмо с предложением перейти по ссылке, внешне похожей на путь к официальному документу. При переходе на компьютер загружается VBE-скрипт, запускающий трёхступенчатое заражение. Злоумышленники собирают данные с компьютера и съёмных носителей: системные журналы, презентации, офисные файлы, изображения, а также периодически делают снимки экрана. Кроме документов, похищается информация об установленных программах, драйверах и компонентах ОС.
В сообщении отмечается, что за последние семь месяцев группа провела более 200 атак в России. В 2025 году фиксировались отдельные заражения в Германии, Сербии и Гонконге — вероятно, случайные, поскольку почти все фишинговые письма и файлы-приманки были написаны на русском языке. Также обнаружилось, что Geo Likho начала создавать вредоносные утилиты под конкретную инфраструктуру жертвы.
Читайте также
