Компания F6, российский разработчик технологий для борьбы с киберугрозами, зафиксировала новую тактику атак киберпреступной группы PhantomCore на российские компании. В апреле 2026 года злоумышленники от имени МИД России провели рассылку вредоносных писем под предлогом визита на предприятие делегации из КНДР. Группировка использовала новый троян KermitRAT, инструменты и технологии, включая ИИ-решения, позволяющие автоматизировать атаки и управлять ими.
Аналитики департамента киберразведки (Threat Intelligence) компании F6 представили исследование новой атаки киберпреступной группы PhantomCore, в которой злоумышленники использовали новую тактику для доставки вредоносного ПО в фишинговом письме, а также новые инструменты и технологии для повышения эффективности атаки.
PhantomCore – одна из главных киберугроз для российских и белорусских компаний. Впервые специалисты F6 обнаружили её в 2024 году, а позднее выяснили, что самые ранние атаки группировка провела в 2022 году. Среди отличительных черт PhantomCore – использование вредоносного программного обеспечения (ВПО) собственной разработки, а также нестандартные способы доставки ВПО до атакуемых организаций.
8 апреля 2026 года система защиты корпоративной почты F6 Business Email Protection перехватила и заблокировала фишинговую рассылку, направленную в адрес нескольких получателей в российской промышленной компании.
Письмо направлено с домена ministerstvo-inostrannykh-del[.]ru, созданного 30 марта 2026 года, и маскируется под уведомление о рабочем визите делегации Корейской Народно-Демократической Республики. В тексте указано, что визит планируется «в целях ознакомления с действующими производственными технологиями», «обмена опытом» и «развития двустороннего сотрудничества». Письмо содержит файл-приманку в формате PDF и zip-архив KNDR (1), для открытия которого необходим пароль, указанный в тексте сообщения.
Файл-приманка маскируется под фейковое сопроводительное письмо, информирующее об утверждении МИД России 18 февраля 2026 года методического документа «О порядке организации и проведения визита делегации КНДР на отечественное предприятие». Другой файл, который злоумышленники используют для отвлечения внимания пользователя при открытии вредоносного архива, маскируется под письмо руководителю предприятия. В письме указано, что в рамках визита предусмотрено «проведение рабочих встреч со специалистами предприятия» и «демонстрация ключевых этапов производственного цикла».
При запуске этих файлов происходит заражение компьютера пользователя трояном удалённого доступа, который позволяет злоумышленникам собирать информацию о заражённой системе, похищать из неё файлы и выполнять различные команды. Специалисты F6 обнаружили это ВПО в апреле 2026 года и присвоили ему имя KermitRAT.
В ходе исследования сетевой инфраструктуры злоумышленников специалисты F6 обнаружили следы использования платформы для коммуникаций Mettermost, а также AI-платформы для автоматизированного тестирования СyberstrikeAI.
«Мы продолжаем фиксировать не только новые атаки группировки PhantomCore, но и новое вредоносное программное обеспечение, которое она взяла на вооружение. Одно из таких ВПО — KermitRAT, троян удаленного доступа, разработанный группировкой. Его функциональные возможности сочетают в себе сбор полной информации о системе, фиксации действий жертвы и дальнейшего контроля устройства посредством исполнения команд. Также атакующие следуют цифровым тенденциям и, кроме ранее зафиксированных в арсенале MeshAgent и Sliver, взяли на вооружение платформу CyberStrike AI, позволяющую автоматически проводить и контролировать атаку посредством выполнения команд».
Елена Шамшина
Руководитель департамента Threat Intelligence компании F6
Подробности исследования, индикаторы компрометации – в новом блоге на сайте F6.
