В почтовые ящики российских промышленных предприятий приходят письма с официальным логотипом МИД. Тема — визит делегации из Северной Кореи для обмена опытом. Пока сотрудники изучают график встреч, за кулисами запускается новый троян KermitRAT, открывающий хакерам из PhantomCore полный доступ к внутренней сети компании.
Группировка PhantomCore, активная с 2022 года, существенно обновила инструментарий для атак на российский и белорусский бизнес. В апреле 2026 года аналитики компании F6 зафиксировали использование вредоносного ПО собственной разработки и автоматизированных систем управления. Основным методом остаются фишинговые рассылки с тщательно проработанной легендой. В этот раз злоумышленники зарегистрировали домен, имитирующий почту министерства иностранных дел, и подготовили PDF-файлы с «методичками» по приему иностранных гостей.Технологии автоматизации и троян KermitRAT
Внутри защищенных паролем архивов скрывался KermitRAT — троян удаленного доступа, который позволяет похищать файлы и фиксировать каждое действие пользователя. Исследователи обнаружили, что PhantomCore начала внедрять в свои операции AI-платформу CyberStrike AI. Это решение позволяет автоматизировать тестирование уязвимостей и управлять ходом атаки без постоянного участия человека. Подобная цифровизация хакерского арсенала делает нападения более массовыми и быстрыми, сокращая время от проникновения до вывода данных.
По данным департамента киберразведки F6, группировка планомерно уходит от стандартных решений в пользу кастомного софта. Использование мессенджера Mattermost для координации и интеграция искусственного интеллекта свидетельствуют о профессионализации группы. Сейчас PhantomCore входит в число наиболее опасных угроз для индустриального сектора, сочетая глубокое знание специфики российских госучреждений с современными методами скрытого управления зараженными устройствами.
Комментарии (0)
Пока нет комментариев. Будьте первым!