Хакеры притворялись госслужащими из Киргизии для шпионажа в России

2025-09-25T00:00:58Z — Группа хакеров Cavalry Werewolf атаковала российские организации с целью шпионажа, выдавая себя за госслужащих из Киргизии, сообщили РБК в компании BI.ZONE.

Группа хакеров Cavalry Werewolf атаковала российские организации с целью шпионажа, выдавая себя за госслужащих из Киргизии, сообщили РБК в компании BI.ZONE. Мишенями злоумышленников стали государственные учреждения, а также компании из сферы энергетики, добычи полезных ископаемых и обрабатывающей промышленности. Хакеры под видом сотрудников разных киргизских министерств рассылали жертвам письма с пометкой «важные документы». На самом же деле в прикрепленных RAR-архивах было спрятано вредоносное ПО. «Это были не коммерческие, массовые программы, которые можно купить на теневых площадках. Злоумышленники создавали собственные: реверс-шеллы FoalShell и трояны удаленного доступа StallionRAT с управлением через Telegram», — говорится в сообщении BI.ZONE. По словам экспертов, эти инструменты позволяют удаленно управлять скомпрометированным устройством. Для своих рассылок хакеры чаще всего создавали почтовые ящики, похожие на настоящие адреса чиновников. Однако в некоторых случаях использовали реальный e-mail, который был указан в качестве контактного на сайте одной из киргизских госструктур. «Фишинговые письма Cavalry Werewolf не выбивались из стилистики официальной переписки. Правдоподобный фишинг, который сложно распознать, а также использование самописных программ и активные эксперименты с арсеналом — характерный почерк шпионских группировок», — рассказал РБК руководитель BI.ZONE Threat Intelligence Олег Скулкин. Он отметил, что главная задача преступников как можно дольше оставаться незамеченными в «скомпрометированной инфраструктуре». В BI.ZONE не исключают, что хакеры из Cavalry Werewolf готовят новые атаки — против граждан и компаний Таджикистана и стран Ближнего Востока. Специалисты обнаружили созданные злоумышленниками файлы с названиями на таджикском и арабском языках. Кроме того, группировка тестирует новые вредоносные программы, в частности, троян удаленного доступа Async RAT. В отличие от самописных инструментов, которые были недавно использованы против российских организаций, он бесплатен и доступен на одной из популярных платформ для хостинга IT-проектов. Однако для своих задач злоумышленники выбрали модификацию, переписанную на языке программирования Rust, выяснили киберзащитники. Читайте РБК в Telegram.

Читайте также: