Специалисты по кибербезопасности из Positive Technologies выявили значительные изменения в тактике известной хакерской группировки Dark Caracal. Преступная организация, действующая с 2012 года, перешла на использование нового вредоносного инструмента — бэкдора Poco RAT, что свидетельствует о модернизации её технического арсенала.
Новый инструментарий и тактика атак
В ходе исследования, проведенного в 2024 году, эксперты обнаружили масштабную кампанию с применением Poco RAT — вредоносного ПО класса RAT (Remote Access Trojan). Этот бэкдор предоставляет злоумышленникам возможность удаленного управления зараженными устройствами. Основной целью атак стали испаноговорящие пользователи, преимущественно из Венесуэлы, Чили, Доминиканской Республики и Колумбии.
Механизм проведения атак
Злоумышленники используют продвинутые методы социальной инженерии, отправляя жертвам фишинговые письма с поддельными финансовыми документами. Особенностью атак является использование специально подготовленных документов-приманок с размытым изображением, которые успешно обходят антивирусную защиту. При открытии такого документа происходит автоматическая загрузка архива формата .rev, содержащего вредоносный дроппер Poco RAT.
Эволюция инструментов Dark Caracal
Исследователи отмечают важную корреляцию: прекращение использования трояна Bandook, ранее считавшегося визитной карточкой Dark Caracal, совпало с началом распространения Poco RAT. За период с июня 2024 года было обнаружено 483 образца Poco RAT, что существенно превышает количество выявленных образцов Bandook (355) за предыдущий период с февраля 2023 по сентябрь 2024 года.
Анализ технических характеристик Poco RAT показал функциональное сходство с Bandook, а также использование аналогичной сетевой инфраструктуры. Это позволяет экспертам с высокой степенью уверенности связать новую малварь с деятельностью Dark Caracal. Переход на новый инструментарий может свидетельствовать об адаптации группировки к современным методам защиты и стремлении расширить масштабы своих операций через массовые рассылки.
Учитывая историю целевых атак Dark Caracal на правительственные и военные структуры, активистов, журналистов и коммерческие организации, обновление инструментария группировки представляет серьезную угрозу для информационной безопасности. Организациям рекомендуется усилить мониторинг подозрительной активности и обновить системы защиты с учетом новых индикаторов компрометации, связанных с Poco RAT.
