В мире киберразведки появление нового игрока - всегда событие. Однако куда более тревожной тенденцией является устойчивая активность уже известной группировки, которая, несмотря на многократные разоблачения, продолжает совершенствовать свои инструменты и расширять географию атак. Именно такой угрозой, по данным совместного расследования компании VMRay и независимого исследователя Пола Тилла, является группа Hydra Saiga, также известная как Yorotrooper, ShadowSilk или Silent Lynx. Результаты глубокого погружения в её деятельность, выполненного с помощью платформы VMRay DeepResponse, обладающей устойчивыми к противодействию возможностями песочницы (sandbox), рисуют картину долгосрочной, хорошо финансируемой кампании, работающей в интересах государства.
Описание
Суть угрозы: целевой шпионаж в стратегических отраслях
Группа Hydra Saiga, активная как минимум с 2021 года, демонстрирует все признаки киберподразделения, действующего в рамках государственной программы. Её основная цель - сбор разведывательных данных путём проникновения в сети государственных учреждений и компаний критической инфраструктуры. Анализ выявил компрометацию как минимум 34 организаций в 8 странах, при этом разведывательная активность наблюдалась в отношении более чем 200 целей по всему миру. География жертв охватывает Центральную Азию (Россия, Туркменистан, Киргизия, Узбекистан и другие), Европу (Болгария, Словакия, Нидерланды), Ближний Восток (Турция, Оман, Иран) и даже Южную Америку. Особое внимание злоумышленники уделяют энергетическому сектору, водным ресурсам, правительственным структурам, здравоохранению и промышленности.
Ключевым атрибуционным признаком, связывающим группу с Казахстаном, стали цифровые следы, оставленные самими операторами. Анализ временных меток их активности выявил чёткий рабочий график в часовом поясе UTC+5. Более того, в дни казахстанских государственных праздников - 10 марта (перенос выходного с Международного женского дня) и 25 марта (Наурыз) - любая активность полностью прекращалась, что является сильным косвенным доказательством географической и культурной привязки операторов.
Технический арсенал: от Telegram-ботов до утилит Living off the Land
Отличительной чертой Hydra Saiga является активное использование Telegram Bot API в качестве канала управления и контроля (Command-and-Control, C2). Этот подход позволяет легко разворачивать и поддерживать связь со своими вредоносными программами-имплантами, маскируя трафик под легитимные запросы к популярному мессенджеру. Группа использует как собственные разработки, написанные на Rust, Go и Python, так и общедоступные фреймворки вроде Havoc, а также широко применяет тактику Living off the Land (LotL), используя встроенные системные утилиты Windows для выполнения задач.
Процесс заражения обычно начинается с фишинговых писем, содержащих вредоносные вложения - архивы RAR или ISO с исполняемыми файлами или документами Microsoft Office с макросами. Эти документы часто маскируются под официальные письма, связанные с региональными событиями или организациями. После выполнения начальной полезной нагрузки на систему загружается бэкдор, который устанавливает связь с оператором через Telegram и ожидает дальнейших инструкций.
Ручное управление и операционные провалы
Постэксплуатационная активность Hydra Saiga характеризуется как высоко ручная, «с клавиатурой в руках». Операторы последовательно, шаг за шагом, выполняют команды для закрепления в системе (persistence), сбора учётных данных, перемещения по сети и извлечения данных. Для этого они используют стандартные утилиты: "nltest" для обнаружения контроллеров домена, "PsExec" для удалённого выполнения, "curl" для загрузки инструментов и выгрузки данных.
При этом исследователи зафиксировали критические ошибки операционной безопасности (OPSEC) со стороны злоумышленников. В частности, некоторые операторы случайно заразили собственные промежуточные серверы своими же имплантами. Это привело к утечке истории их браузеров, поисковых запросов и деталей внутренней инфраструктуры, что стало бесценным источником информации для аналитиков. В истории поиска, например, обнаружились запросы о сканерах уязвимостей вроде Acunetix, поиск эксплойтов для SCADA-систем и инструкции по настройке фреймворка Havoc.
Стратегические кампании: вода и энергия
Действия Hydra Saiga не являются хаотичными; они чётко соответствуют стратегическим интересам Казахстана в регионе. В период с сентября 2024 по март 2025 года группа провела целенаправленную кампанию против водной инфраструктуры Центральной Азии, сфокусировавшись на объектах, связанных с бассейнами рек Сырдарья и Амударья. Были атакованы министерства водных ресурсов, научно-исследовательские институты и операторы гидроэлектростанций в Узбекистане, Таджикистане и Киргизии. Доступ к такой информации имеет критическое значение для управления водными ресурсами в засушливом регионе.
Параллельно группа проявляла активный интерес к энергетическому сектору. В конце апреля 2024 года операторы пытались получить доступ к системам газораспределения в приграничном с Казахстаном регионе России, а также тестировали уязвимости SCADA-систем на объектах в Аргентине, Бразилии и Индии. Эти попытки, вероятно, были частью разведки или подготовки к более масштабным операциям.
Рекомендации для защитников
Для противодействия угрозе со стороны Hydra Saiga специалистам по информационной безопасности целевых организаций и регионов следует предпринять ряд превентивных мер. В первую очередь, рекомендуется рассмотреть возможность блокировки исходящих соединений с доменом "api.telegram.org" на периметре сети, чтобы пресечь основной канал управления имплантами. Не менее важно усилить мониторинг сетевой активности на предмет соединений с хостами от хостинг-провайдеров, известных поддержкой анонимной оплаты криптовалютой (например, ASN, используемые BitLaunch или PSB Hosting), которые предпочитает группа.
Учитывая активное использование тактики Living off the Land, необходимо внедрять решения для обнаружения аномалий в поведении легитимных системных утилит (PowerShell, WMI, "certutil" и др.). Особое внимание стоит уделить мониторингу почтовых серверов на предмет всплеска исходящей корреспонденции с компрометированных ящиков, которые часто используются для фишинга следующей цели. Регулярный аудит учётных записей с привилегированным доступом и анализ логов на предмет подозрительной активности в нерабочее время также являются обязательными элементами защиты.
Вывод: устойчивая и эволюционирующая угроза
Группа Hydra Saiga представляет собой не временную вспышку киберпреступности, а устоявшуюся, резилиентную и эволюционирующую угрозу. Несмотря на публикации отчётов и разоблачения со стороны исследовательского сообщества, группировка продолжает адаптироваться, разрабатывая новые инструменты для обхода современных средств защиты, как, например, в случае с обходом app-bound encryption в браузере Chrome в июле 2025 года. Её деятельность, тесно связанная с геополитическими интересами, указывает на долгосрочные цели в сфере цифрового шпионажа. Для организаций в Центральной Азии и сопредельных регионах понимание тактик, техник и процедур (TTP) этой группы и внедрение упреждающих мер защиты должно стать одним из приоритетов в построении комплексной системы кибербезопасности. Индикаторы компрометации и подробные данные об используемых методиках были опубликованы в угрозном фиде VMRay UniqueSignal Threat Intelligence Feed для оперативного использования защитниками.
Индикаторы компрометации
IPv4
- 141.98.82.198
- 168.100.11.127
- 172.86.75.237
- 176.126.165.66
- 179.60.150.151
- 185.106.92.127
- 185.221.182.193
- 193.149.129.181
- 193.176.182.155
- 195.85.115.196
- 64.7.198.46
- 64.7.198.66
- 65.38.120.38
- 65.38.121.107
- 72.5.43.100
- 72.5.43.178
- 78.128.112.209
- 81.19.136.241
- 82.115.223.210
- 85.209.128.171
- 86.104.15.60
- 88.214.26.37
- 96.9.125.168
IPv4 Port Combinations
- 172.86.75.237:443
- 65.38.120.38:10443
- 65.38.120.38:443
- 72.5.43.100:443
- 72.5.43.100:80
- 72.5.43.178:443
- 78.128.112.209:443
- 81.19.136.241:443
- 85.209.128.171:10443
- 96.9.125.168:443
Domains
- adm-govuz.com
- allcloudindex.com
- altaviva.ru
- docworldme.com
- france-deguisement.fr
- Hoster.by
- Hoster.kg
- inboxsession.info
- mailboxarea.cloud
- mailkeyboard.com
- naryncity.kg
- pweobmxdlboi.com
- qwadx.com
- wincorpupdates.com
URLs
- http://141.98.82.198:443//upload
- http://179.60.150.151:443/rsocx.exe
- http://185.106.92.127/syclog.exe
- http://64.7.198.46/rev.exe
- http://64.7.198.66/resosk443.exe
- http://65.38.121.107:8000/123.txt
- http://82.115.223.210:9942/cmd
- http://82.115.223.210:9942/panel
- http://85.209.128.171:8080/
- http://88.214.26.37:443/upload
- http://ig-es:8080
- https://adm-govuz.com/rev.rar
- https://admin.inboxsession.info/teal/ru.rar
- https://altaviva.ru/contacts/rsocx.rar
- https://auth.allcloudindex.com/147/sokcs.exe
- https://ex.wincorpupdates.com/sokcs.exe
- https://france-deguisement.fr/wp-content/samba.exe
- https://message.mailboxarea.cloud/steal/ru.exe
- https://pweobmxdlboi.com/sokcs.exe
- https://ss.qwadx.com/spoolsvc.rar
SHA256
- 3da644eec41a32d72d3632b76a524d836f39f3b9854eda5d227cdf7fc4c7b543
- 66962bb324a7c5a57ba0e9663bba156576a7e6aa5c6c1401c315b3d32f8d467d
- 8dda063860120a04bf3c7679f6a02a14aee4b5d2c3efc4dbd638dabce8a288a5
- a44827d002d7d1a74963b80e6af8a7257977f44c89caff66f126b7d1cad1fd11
- e179bf035b9d9d17f8a76ecfc1ebf3b19b69f8ea05421f0d4507ded9e60c657c
- f78dad5a95bb01f14c822addc8e4ec17b3c95b7e42f27f68f678fb43a9e56d63
