Эксперты компании Positive Technologies зафиксировали крупномасштабную кампанию кибершпионажа, осуществленную APT-группировкой PhantomCore в период с мая по июль 2025 года. В результате атак было скомпрометировано более 180 систем российских организаций, входящих в критически важную инфраструктуру страны.
Масштаб и география кибератак PhantomCore
Целями злоумышленников стали стратегически важные секторы российской экономики. В список пострадавших организаций вошли государственные учреждения, научно-исследовательские институты, предприятия оборонно-промышленного комплекса и судостроительной отрасли. Также под удар попали компании химической, горнодобывающей и обрабатывающей промышленности, а также IT-сектора.
Анализ временных рамок атаки показывает четкую структурированность кампании. Первое зафиксированное заражение произошло 12 мая 2025 года, при этом пик активности пришелся на июнь. Особенно интенсивным оказался 30 июня, на который приходится 56% всех выявленных заражений.
Тактики и методы киберпреступников
Исследование показало высокий уровень подготовки и терпения злоумышленников. В среднем группировка PhantomCore находилась в скомпрометированных сетях 24 дня, а максимальная продолжительность присутствия составила 78 дней. Такая длительность позволяла хакерам тщательно изучить инфраструктуру жертв и получить доступ к наиболее ценной информации.
Особую тревогу вызывает тот факт, что по состоянию на момент публикации отчета 49 хостов по-прежнему остаются под контролем киберпреступников, что указывает на продолжающуюся угрозу для пораженных организаций.
Технический арсенал группировки
PhantomCore демонстрирует впечатляющее разнообразие используемых инструментов. Арсенал группировки включает как популярные открытые утилиты и модифицированные версии известных программ, так и уникальные разработки собственного производства. Такой подход позволяет злоумышленникам длительное время оставаться незамеченными в корпоративных сетях.
Инфраструктура группировки характеризуется строгой сегментацией по функциям и типам управляемых инструментов, что свидетельствует о профессиональном подходе к организации кибератак.
География вредоносной инфраструктуры
Анализ расположения серверов управления выявил интересную особенность: 48% инфраструктуры PhantomCore размещено в России, преимущественно в сетях трех крупных российских провайдеров. Оставшиеся 52% распределены между зарубежными юрисдикциями, включая Финляндию, Францию, Нидерланды, США, Германию, Гонконг, Молдавию и Польшу.
Примечательно, что треть всей инфраструктуры (33%) сконцентрирована в сетях одного канадского провайдера, что может указывать на особые предпочтения группировки в выборе хостинг-провайдеров.
Эволюция угрозы и новые тенденции
По мнению Виктора Казакова, ведущего специалиста группы киберразведки PT ESC TI, всплеск активности в рассматриваемый период связан с эволюцией вредоносного арсенала PhantomCore. Предположительно, до конца апреля злоумышленники активно работали над совершенствованием своего инструментария, готовясь к новой серии атак.
Исследователи также обнаружили новое ответвление группировки, состоящее из менее квалифицированных специалистов. Это подразделение, вероятно, создано одним из членов основной PhantomCore для расширения масштабов киберпреступной деятельности и увеличения поверхности атаки.
Своевременное выявление и уведомление пострадавших организаций со стороны экспертов Positive Technologies позволило предотвратить наиболее критичные последствия кибератак. Данный случай подчеркивает важность непрерывного мониторинга киберугроз и необходимость укрепления защитных мер критически важной инфраструктуры. Организациям рекомендуется регулярно проводить аудит безопасности, обновлять системы защиты и обучать сотрудников основам кибергигиены для минимизации рисков подобных инцидентов.
