Аналітики Positive Technologies виявили складну кібершпіонську кампанію групи PhantomCore, яка протягом весни-літа 2025 року здійснила координовані атаки на понад 180 систем організацій критичної інфраструктури. Ця операція демонструє еволюцію тактик сучасних APT-груп та підкреслює зростаючі виклики у сфері корпоративної кібербезпеки.
Архітектура цільової кампанії
Аналіз векторів атаки показує системний підхід зловмисників до вибору цілей. Хакери зосередилися на стратегічно важливих секторах: державних установах, науково-дослідних інститутах, підприємствах ОПК та суднобудівної галузі. Додатково під удар потрапили організації хімічної, гірничодобувної, переробної промисловості та IT-сектора.
Часова динаміка кампанії свідчить про ретельне планування. Початкове зараження зафіксовано 12 травня 2025 року, з піком активності у червні. Особливо показовим став 30 червня, коли відбулося 56% від загальної кількості виявлених інцидентів, що вказує на координований характер операції.
Тактика тривалого проникнення
Дослідження виявило характерні ознаки професійної APT-діяльності. Група PhantomCore демонструвала виняткову витримку, перебуваючи у скомпрометованих мережах в середньому 24 дні, з максимальною тривалістю присутності до 78 днів. Така стратегія дозволяла зловмисникам проводити детальну розвідку інфраструктури та отримувати доступ до найбільш цінних даних.
Критичним залишається факт, що 49 хостів досі перебувають під контролем кіберзлочинців, що свідчить про триваючу загрозу для постраждалих організацій та необхідність негайних заходів з нейтралізації.
Технічний інструментарій зловмисників
Арсенал PhantomCore характеризується значним різноманіттям: від модифікованих відкритих утиліт до власних унікальних розробок. Така гібридна стратегія забезпечує тривалу присутність у корпоративних мережах без виявлення традиційними засобами захисту.
Інфраструктура групи демонструє професійну сегментацію за функціями та типами керованих інструментів, що підтверджує високий рівень організаційної зрілості кіберзлочинців.
Географічний розподіл командних серверів
Геоаналіз інфраструктури виявив цікаві особливості: 48% серверів управління PhantomCore розташовано в Росії, переважно у мережах трьох великих провайдерів. Решта 52% розподілена між зарубіжними юрисдикціями, включаючи Фінляндію, Францію, Нідерланди, США, Німеччину, Гонконг, Молдавію та Польщу.
Особливу увагу привертає концентрація третини всієї інфраструктури (33%) у мережах одного канадського провайдера, що може вказувати на специфічні переваги групи у виборі хостингових рішень.
Еволюція загрози та нові тренди
За оцінкою Віктора Казакова, провідного спеціаліста групи кіберрозвідки PT ESC TI, сплеск активності пов’язаний з еволюцією шкідливого арсеналу PhantomCore. До кінця квітня зловмисники активно вдосконалювали свій інструментарій, готуючись до нової серії атак.
Дослідники також ідентифікували нове відгалуження групи, що складається з менш кваліфікованих спеціалістів. Це підрозділ, ймовірно, створений одним із членів основної PhantomCore для розширення масштабів діяльності та збільшення поверхні атаки.
Своєчасне виявлення та сповіщення постраждалих організацій експертами Positive Technologies дозволило запобігти найбільш критичним наслідкам кібератак. Цей випадок підкреслює важливість безперервного моніторингу кіберзагроз та необхідність посилення захисних заходів критично важливої інфраструктури. Організаціям рекомендується регулярно проводити аудит безпеки, оновлювати системи захисту та навчати співробітників основам кібергігієни для мінімізації ризиків подібних інцидентів.
