Исследователи Positive Technologies выявили продолжительную серию целевых атак на телекоммуникационные компании в Кыргызстане и Таджикистане. По набору техник и используемому инструментарию деятельность злоумышленников напоминает восточноазиатскую APT-группировку семейства UnsolicitedBooker, при этом в цепочке компрометации задействованы редкие инструменты китайского происхождения и два разных бэкдора — LuciDoor и MarsSnake, замаскированные под легитимные компоненты Microsoft.
Почему телеком-операторы становятся целью APT-группировок
Телекоммуникационные компании традиционно относятся к числу приоритетных целей разведывательных и киберпреступных групп. Компрометация таких организаций открывает доступ к крупным массивам абонентских данных, метаданным соединений и каналам передачи трафика. По данным открытых отраслевых отчетов, именно на операторов связи приходится значимая доля сложных APT-операций в мире, поскольку успешная атака позволяет злоумышленникам вести долговременное скрытое наблюдение и проводить дальнейшее распространение в смежные отрасли.
Первая волна атак: фишинг под видом запросов тарифов
Первая зафиксированная волна пришлась на конец сентября 2025 года и была нацелена на телеком-операторов Кыргызстана. Злоумышленники рассылали фишинговые письма с почтовых сервисов Hotmail и Outlook, выдавая себя за потенциальных клиентов, якобы интересующихся тарифами мобильной связи. К каждому сообщению прикладывался документ, который при открытии отображал картинку с призывом «включить содержимое» — это побуждало сотрудника запустить вредоносный макрос.
При этом кампания не отличалась высокой точностью таргетинга: подготовленный документ мог быть ориентирован на компанию «А», а фактически отправлялся в компанию «Б». Тем не менее, общая тематика телекоммуникаций соблюдалась, что позволяло письмам выглядеть правдоподобно на фоне повседневной бизнес‑переписки.
Perfrom.exe и LuciDoor: маскировка под OneDrive
После активации макроса на рабочей станции жертвы загружался загрузчик Perfrom.exe с иконкой OneDrive. Он расшифровывал конфигурацию, зашифрованную алгоритмом RC4, создавал скрытое окно с заголовком OneDriveLauncher и рефлективно подгружал в память основной вредоносный модуль — бэкдор LuciDoor. Такой подход усложняет детектирование, поскольку зловред не записывается на диск в явном виде.
LuciDoor устанавливал соединение с управляющим сервером (в случае неудачи пытался выйти в интернет через системный прокси или резервные серверы внутри инфраструктуры жертвы), собирал базовую информацию о системе, загружал дополнительные инструменты и выполнял функции кражи данных. Набор возможностей включает удалённое выполнение команд, работу с файлами и шпионаж за скомпрометированной системой.
Вторая волна: бэкдор MarsSnake и DLL side-loading
В конце ноября 2025 года атаки на телеком-компании Кыргызстана повторились по схожему сценарию, но с использованием другой вредоносной нагрузки. Вместо LuciDoor оператор APT-группировки задействовал бэкдор MarsSnake, который ранее упоминался в квартальном отчете аналитиков ESET, однако его детальный технический разбор до сих пор оставался ограниченным.
Особенностью MarsSnake исследователи называют архитектуру конфигурации: параметры управления можно изменять без пересборки исполняемого файла бэкдора — достаточно обновить настройки в загрузчике. Закрепившись в системе, MarsSnake собирает сведения о конфигурации машины, вычисляет уникальный идентификатор жертвы и передает эти данные операторам для дальнейшего управления и приоритизации целей.
Для заражения применялась техника DLL side-loading: легитимный файл Microsoft Plasrv.exe запускал подмененную библиотеку PDH.DLL. Windows доверяет корректно подписанному исполняемому файлу и автоматически подгружает библиотеку из определённых директорий, чем и пользуются злоумышленники, подсовывая вредоносный DLL вместо оригинального. Такой подход помогает обходить антивирусную защиту, ориентированную на проверку известных, явно вредоносных исполняемых файлов.
Языковые артефакты и след китайских инструментов
Анализ фишинговых документов выявил любопытные языковые артефакты. Содержимое файлов было подготовлено на русском языке, однако в настройках фигурировали арабский, английский и китайский. Внутри документов также обнаружено поле, указывающее на использование китайского языка — вероятно, злоумышленники работают с офисным пакетом, установленным с китайской локалью, либо используют шаблоны, изначально подготовленные на китайском.
Дополнительно эксперты Positive Technologies отмечают использование редких инструментов китайского происхождения и сходство части тактик с группировкой UnsolicitedBooker. При этом подчёркивается, что прямая атрибуция по одному лишь набору артефактов некорректна: схожие инструменты и шаблоны могут использоваться разными актёрами, а часть следов может быть сознательно подброшена для введения в заблуждение.
Третья волна: переход фокуса на Таджикистан и обновлённый LuciDoor
По данным исследователей, в январе 2026 года оператор группировки переключил основное внимание на телеком-операторов Таджикистана. Тактика несколько изменилась: вместо вложенного документа письма содержали ссылку на вредоносный файл, по‑прежнему демонстрирующий изображение с просьбой включить содержимое, но уже на английском языке. Это может свидетельствовать о попытке расширить целевую аудиторию или упростить повторное использование шаблонов в других регионах.
Несмотря на изменение способа доставки, злоумышленники сохранили в арсенале бэкдор LuciDoor, но с обновленной конфигурацией. Это подчеркивает, что группировка рассматривает LuciDoor как один из ключевых инструментов долговременного присутствия в инфраструктуре телеком-компаний.
Последствия для отрасли и практические меры защиты
Успешные атаки на операторов связи в Кыргызстане и Таджикистане вписываются в общемировой тренд на рост числа целевых APT-операций против телеком-сектора. Компрометация такой инфраструктуры может привести не только к утечкам коммерчески чувствительных данных и персональной информации абонентов, но и к рискам перехвата трафика, подмены данных и дальнейших атак на государственные и корпоративные структуры, использующие сети связи.
Рекомендации для телеком-компаний по противодействию APT-атакам
Экспертная практика показывает, что снижения риска можно добиться комбинацией технических и организационных мер. Критически важно усилить защиту корпоративной почты: внедрить многоуровневую фильтрацию вложений и ссылок, по умолчанию блокировать макросы в офисных документах из внешних источников и регулярно обучать персонал распознаванию фишинговых писем. Дополнительно стоит использовать политики контроля приложений (например, AppLocker или аналогичные решения) и мониторинг загрузки библиотек, чтобы снижать эффективность DLL side-loading.
Телеком-операторам рекомендуется развернуть полноценный мониторинг сетевого трафика и аномальной активности рабочих станций, использовать актуальную киберразведку (Threat Intelligence) для быстрой блокировки управляющих серверов (C2) и индикаторов компрометации LuciDoor и MarsSnake. Регулярный аудит инфраструктуры, сегментация сетей и обмен технической информацией об инцидентах с профильными центрами и вендорами позволяют существенно сократить «время жизни» таких группировок внутри отрасли и уменьшить масштаб возможного ущерба.
