Дослідники Positive Technologies виявили тривалу серію цілеспрямованих APT-атак на телеком-операторів Киргизстану та Таджикистану. Ланцюжок компрометації поєднує фішингові кампанії, складні техніки ухилення від виявлення та два різні бекдори — LuciDoor і MarsSnake, замасковані під легітимні компоненти Microsoft і доповнені рідкісними інструментами ймовірно китайського походження.
Чому APT-угруповання прицільно б’ють по телеком-сектору
Телеком-оператори є одними з найцінніших цілей для розвідувальних і кримінальних кібергруп. Компрометація інфраструктури зв’язку відкриває доступ до великих масивів абонентських даних, метаданих з’єднань, технічної інформації про мережу та каналів передачі трафіку, що потенційно дозволяє перехоплювати й модифікувати комунікації.
Галузеві звіти міжнародних організацій та аналітичних компаній послідовно фіксують зростання частки цільових APT-операцій проти телеком-сектору. Для зловмисників це можливість довготривалої присутності в мережі, прихованого моніторингу абонентів та подальшого розповсюдження в суміжні галузі — від державних структур до великих корпорацій.
Перша хвиля атак: фішинг під запити тарифів і бекдор LuciDoor
Перша зафіксована хвиля наприкінці вересня 2025 року була націлена на телеком-компанії Киргизстану. Зловмисники розсилали фішингові листи з поштових сервісів Hotmail і Outlook, маскуючись під потенційних клієнтів, які начебто запитують тарифи мобільного зв’язку. У вкладенні надсилався документ, що відображав картинку із закликом «увімкнути вміст», спонукаючи співробітника запустити шкідливий макрос.
Запуск макросу призводив до завантаження завантажувача Perfrom.exe з іконкою OneDrive. Він розшифровував конфігурацію (шифрування RC4), створював приховане вікно з заголовком OneDriveLauncher і рефлективно підвантажував у пам’ять основний модуль — бекдор LuciDoor. Такий «fileless»-підхід ускладнює детектування, оскільки шкідливий код практично не залишає слідів на диску.
LuciDoor встановлював з’єднання з керуючим сервером (C2), за потреби використовуючи системний проксі або резервні вузли всередині мережі жертви, збирав базову інформацію про систему, завантажував додаткові інструменти та виконував функції викрадення даних, віддаленого виконання команд і прихованого моніторингу скомпрометованих робочих станцій.
Друга хвиля: MarsSnake та DLL side-loading через Plasrv.exe
Наприкінці листопада 2025 року атаки на телеком-операторів Киргизстану відновилися за схожим сценарієм, але із застосуванням іншої шкідливої навантаження. Замість LuciDoor зловмисники використовували бекдор MarsSnake, що раніше згадувався в аналітичних звітах, але залишався недостатньо описаним публічно.
Одна з особливостей MarsSnake — гнучка архітектура конфігурації. Параметри управління змінюються на рівні завантажувача без необхідності перекомпіляції самого бекдора. Після закріплення в системі MarsSnake збирає відомості про конфігурацію машини, формує унікальний ідентифікатор жертви і надсилає ці дані операторам, що дозволяє їм ранжувати цілі та будувати подальші сценарії атаки.
DLL side-loading: як зловмисники зловживають довірою Windows
Для зараження застосовувалася техніка DLL side-loading. Легітимний підписаний файл Microsoft Plasrv.exe запускав підмінену бібліотеку PDH.DLL, розміщену в одному з пріоритетних для Windows каталогів. Операційна система автоматично підвантажує DLL з визначених директорій, довіряючи шляху завантаження й підпису основного EXE, чим і користуються зловмисники, підсовуючи шкідливу бібліотеку замість оригінальної.
Такий підхід дозволяє обходити антивірусний захист, орієнтований на виявлення відомих шкідливих виконуваних файлів, і є однією з типових технік APT-угруповань, зокрема зі Східної Азії.
Мовні артефакти та китайські інструменти: обережність в атрибуції
Аналіз фішингових документів показав цікаві мовні артефакти. Хоча основний вміст був підготовлений російською, у налаштуваннях файлів виявлено згадки арабської, англійської та китайської мов. Окремі поля вказують на використання офісного пакета з китайською локаллю або шаблонів, створених спочатку для китайськомовного середовища.
Positive Technologies також відзначає застосування рідкісних інструментів китайського походження і схожість частини тактик із відомою групою сімейства UnsolicitedBooker. Водночас підкреслюється, що пряма атрибуція на основі лише мовних слідів і повторного використання інструментів є некоректною: різні актори можуть застосовувати однаковий арсенал, а частина артефактів може бути свідомо підкинута для введення дослідників в оману.
Третя хвиля: фокус на Таджикистані та оновлений LuciDoor
У січні 2026 року оператори угруповання змістили основну увагу на телеком-операторів Таджикистану. Змінився спосіб доставки шкідливого вмісту: замість вкладення в листі розміщувалося посилання на документ, який знову демонстрував картинку з проханням увімкнути вміст, але вже англійською мовою. Це може свідчити про підготовку до масштабування кампанії на інші регіони.
Попри еволюцію фішингових шаблонів, зловмисники зберегли в арсеналі бекдор LuciDoor, але з оновленою конфігурацією. Це вказує на те, що LuciDoor розглядається як ключовий інструмент для довготривалого прихованого доступу до критичної інфраструктури телеком-сектору.
Ризики для телеком-сектору та практичні заходи кіберзахисту
Успішна APT-атака на оператора зв’язку не обмежується витоком персональних і комерційно чутливих даних. Компрометація такої інфраструктури створює ризики перехоплення та підміни трафіку, маніпуляції даними абонентів, а також організації подальших атак на державні органи та бізнес-клієнтів, що використовують мережу оператора як базову транспортну платформу.
Як телеком-операторам протидіяти APT-угрупованням
Зниження ризиків потребує поєднання технічних і організаційних заходів. Насамперед важливо посилити захист корпоративної пошти: впровадити багаторівневу фільтрацію вкладень і посилань, за замовчуванням блокувати макроси в офісних документах із зовнішніх джерел, регулярно навчати персонал розпізнаванню фішингових листів і проводити тренувальні розсилки.
Доцільно застосовувати політики контролю запуску застосунків (наприклад, AppLocker або аналогічні рішення), а також моніторинг завантаження бібліотек для виявлення спроб DLL side-loading. На рівні мережі критично важливо мати повноцінний моніторинг трафіку та аномальної активності робочих станцій, використовувати актуальну кіберрозвідку (Threat Intelligence) для оперативного блокування C2-інфраструктури та індикаторів компрометації, пов’язаних із LuciDoor і MarsSnake.
Регулярний аудит безпеки, сегментація мереж, а також обмін технічною інформацією про інциденти з галузевими центрами та вендорами суттєво скорочують «час життя» подібних APT-угруповань усередині інфраструктури оператора. Телеком-компаніям варто вже зараз переглянути власні підходи до кіберзахисту, аби перетворити уроки кампаній LuciDoor та MarsSnake на конкретні зміни в архітектурі безпеки, процедурах реагування та культурі інформаційної безпеки в компанії.
