Группировка SideWinder расширила географию целей до 45 стран и впервые атаковала объекты в Закавказье

APT

Группировка SideWinder, известная также под названиями T-APT-04, RattleSnake и Razor Tiger, действует уже более 14 лет и считается крайне активной структурой, связанной с Индией. Первоначально целями злоумышленников были Пакистан, Китай, Непал и Шри-Ланка. За последний год операторы радикально пересмотрели свою стратегию. Сегодня география жертв охватывает уже более 45 стран. Особую тревогу вызывает то, что в 2024-2026 годах группировка начала целенаправленно атаковать объекты морской портовой инфраструктуры, атомные электростанции, правительственные учреждения Великобритании и, впервые, страны Кавказского региона и СНГ.

Описание

Согласно данным открытых источников по киберразведке, в апреле 2026 года были зафиксированы две новые волны атак, которые серьёзно расширили известную инфраструктуру злоумышленников. Специалисты обнаружили девять ранее не документированных доменов управления и контроля и один новый IP-адрес. Оба кластера инфраструктуры - direct880[.]net и defence-np[.]net - содержат уникальные свидетельства, позволяющие с высокой уверенностью утверждать об индийской принадлежности хакеров.

Ключевым индикатором, подтверждающим атрибуцию, стала находка в ходе кампании direct880 в апреле 2026 года. На всех веб-страницах серверов управления, относящихся к этому кластеру, был обнаружен заголовок водяного знака на языке малаялам. Этот язык распространён преимущественно в индийском штате Керала. Фраза, которую злоумышленники разместили в инфраструктуре, переводится как "Самое главное - быть счастливым". Наличие подобного артефакта разработчика на серверах управления - серьёзная операционная ошибка, которая даёт экспертам по кибербезопасности вескую улику.

Эволюция целей группировки прошла четыре отчётливых фазы. С 2012 по 2020 год атаки концентрировались на Пакистане, Непале, Китае и Шри-Ланке с использованием файлов-ярлыков и публичных инструментов удалённого доступа. В 2021-2023 годах операторы нарастили темп до более чем тысячи атак за полтора года, поражая центральные банки, СМИ и дипломатические миссии с помощью фишинговых писем на тему пандемии. С 2024 по 2025 год произошёл резкий поворот в сторону ядерной энергетики и портовой логистики, а также экспансия на рынки Таиланда и Индонезии. Именно в этот период в арсенале появился резидентный шпионский набор StealerBot.

Нынешняя, четвёртая фаза, стартовавшая в 2026 году, характеризуется одновременными атаками сразу на несколько стран. Кампания direct880, датированная 27 апреля 2026 года, задействовала восемь поддоменов, которые маскировались под официальные ресурсы министерств иностранных дел Непала и Бангладеш, постоянного представительства Пакистана при ООН, пакистанского Совета по доходам и Совета Безопасности Афганистана. Другой кластер, defence-np[.]net, обнаруженный 3 апреля, впервые в истории группировки был нацелен на дипломатический контекст между Азербайджаном и Россией. Сообщили независимые исследователи в социальной сети X, которые ведут трекинг этой угрозы.

Технически атаки SideWinder остаются изощрёнными, но не лишены ошибок. Основной метод проникновения - целевой фишинг с использованием уязвимостей CVE-2017-0199 и CVE-2017-11882 в продуктах Microsoft Office. Обе эти уязвимости получили высокий балл опасности 7.8 по шкале CVSS и включены в каталог эксплуатируемых уязвимостей CISA. Злоумышленники используют географическую привязку доставки вредоносного вложения: если IP-адрес жертвы не соответствует заданному региону, вместо эксплойта открывается пустой RTF-файл, что обманывает автоматические песочницы.

Цепочка заражения в апрельских кампаниях стандартна: жертва получает документ с макросами, который загружает промежуточный файл Fontlayer.rtf. Далее срабатывает загрузчик ModuleInstaller на платформе .NET, который дешифрует и внедряет в память системы главный модуль StealerBot. Этот инструмент полностью работает в оперативной памяти и не оставляет следов на диске. Он способен перехватывать нажатия клавиш, похищать учётные данные RDP, делать скриншоты и собирать файлы. Особо отмечается способность воровать данные из браузеров Chrome, Firefox и Edge, а также обеспечивать обратную оболочку для получения удалённого доступа.

Инфраструктурная логистика SideWinder претерпела значительные изменения. Если ранее группировка активно пользовалась хостинг-провайдерами Hostinger и BlueVPS, то в 2026 году она перешла на Amazon Web Services и регистратора Spaceship Inc. При этом весь трафик серверов управления маскируется через сеть доставки контента Cloudflare, что затрудняет блокировку по IP-адресам. Отдельно эксперты отмечают злоупотребление бесплатными поддоменами сервиса Cloudflare Workers (*.workers.dev), которые выступают в роли прокси-серверов.

Стратегический анализ активности группировки позволяет сделать выводы о её тесной связи с геополитическими интересами Нью-Дели. Атаки на дипломатическую переписку и военные структуры Пакистана усилились сразу после майских столкновений в Кашмире в 2025 году. Нацеленность на Азербайджан и Россию совпадает с интересами Индии в развитии Международного транспортного коридора "Север-Юг", который связывает Индию с Россией через Иран и Кавказ. Великобритания попала под прицел, по всей видимости, из-за её роли в выработке политики в отношении Южной Азии.

Что касается практических рекомендаций для специалистов по безопасности, то первоочередной задачей является блокировка доменов direct880[.]net и defence-np[.]net на уровне DNS-фильтрации. Следует настроить оповещения на запуск процесса EQNEDT32.EXE (компонент редактора формул Microsoft Office) с любым дочерним процессом. Интеграция сигнатур YARA и правил Suricata, опубликованных исследователями для обнаружения StealerBot, также может существенно повысить шансы на своевременное обнаружение атаки.

Индикаторы компрометации

CIDRs

  • 94.126.224.0/24

MD5

  • 616fbbce1f4719c37e4e02e01605d3b1
  • dba2260f73884da6f274fe8246988e8c

Комментарии: 0