В мире кибершпионажа атаки на государственные и военные структуры Южной Азии остаются одной из наиболее острых проблем. Эксперты компании Breakglass Intelligence обнаружили и детально проанализировали масштабную кампанию по хищению учётных данных, которая продолжалась пять месяцев - с ноября 2025 года по апрель 2026 года. Злоумышленники, приписываемые продвинутой группе SideWinder, систематически злоупотребляли услугами легальных платформ "платформа как услуга" (PaaS) для таргетированных фишинговых атак на организации в Пакистане и Бангладеш. Уникальность кампании заключается не только в её продолжительности, но и в изощрённой двухэтапной схеме кража паролей, а также в использовании как минимум восьми различных облачных платформ для размещения вредоносной инфраструктуры.
Описание
Целью атакующих стали военные ведомства, оборонные предприятия и государственные телекоммуникационные компании. Среди подтверждённых целей - пакистанская компания Margalla Heavy Industries Limited (MHIL), занимающаяся оборонным производством, Военно-морские силы Бангладеш, ВВС Пакистана (PAF), крупный интернет-провайдер Nayatel, а также Национальный телекоммуникационный корпорация Пакистана (NTC) и Бангладешский компьютерный совет (BCC). Аналитикам удалось расшифровать из параметра фишинговой ссылки электронный адрес конкретной жертвы - сотрудника MHIL с ролью координатора проекта. Два фишинговых сайта, по данным на 5 апреля 2026 года, оставались активными и продолжали собирать данные.
Кампания начиналась с целевых электронных писем, содержащих ссылки, сокращённые через сервисы вроде short.gy или Replit. Эти ссылки вели на страницы, размещённые на различных PaaS-платформах, включая Zeabur, Leapcell, Railway, Cloudflare Workers и Back4App. Жертве показывался встроенный в страницу PDF-документ, тематически связанный с целевой организацией - например, "Соглашение о контракте со строителем павильона для Пакистана" или технические требования к интерфейсам. Через секунду происходила автоматическая переадресация на страницу загрузки, которая через три секунды перенаправляла пользователя на первый фишинговый портал.
На первом этапе жертва попадала на точную копию страницы входа в веб-клиент Zimbra - популярной почтовой системы, часто используемой в корпоративной и государственной среде. Страница была стилизована под портал ВМС Бангладеш и содержала сообщение об истечении сессии, требуя повторного ввода пароля. После отправки данных они перехватывались и сохранялись на сервере злоумышленников, после чего пользователь перенаправлялся на второй этап. Вторая страница входа, внешне идентичная первой, но уже с брендингом ВВС Пакистана, сообщала о неверном пароле и запрашивала его повторно. Только после этой второй кражи учётных данных жертва перенаправлялась на легитимный PDF-документ, завершая иллюзию обычного просмотра файла.
Такой двухэтапный дизайн указывает на стратегическую цель атакующих. Исследователи в своём отчёте предполагают, что злоумышленники целенаправленно охотятся за персоналом, который может иметь доступ к почтовым системам нескольких организаций - например, военнослужащим или подрядчикам, работающим одновременно с бангладешскими и пакистанскими структурами. Кража двух наборов учётных данных увеличивает шансы на компрометацию ценных аккаунтов и обеспечивает большую глубину проникновения.
Технический анализ показал систематический подход к построению инфраструктуры. За пять месяцев атакующие развернули 20 узлов на восьми платформах, постепенно диверсифицируя их по мере возможного обнаружения и закрытия предыдущих. При этом, несмотря на использование разных хостинг-провайдеров, во всех развёртываниях использовался один и тот же фишинговый набор (кит) на базе фреймворка Express.js с идентичными файлами стилей, скриптов и изображений. Критической ошибкой операционной безопасности (OPSEC) со стороны злоумышленников стало повсеместное использование уникального параметра в URL с именем "gfjdliotrgojnghgherbegrehureert0e0ee". Этот параметр, служащий для передачи закодированного адреса жертвы, оставался неизменным во всех инцидентах на протяжении всей кампании, что является чётким цифровым отпечатком для отслеживания и обнаружения.
Высокий уровень уверенности в принадлежности кампании к группе SideWinder основан на нескольких факторах. Исторически эта APT-группа, также известная как T-APT-04 или Rattlesnake, связывается с индийским происхождением и многолетней деятельностью по шпионажу против пакистанских военных и государственных целей. Использование фишинга под Zimbra является задокументированной тактикой SideWinder, а тематика приманок - оборонные контракты и пакистанские выставки - полностью соответствует их предыдущим операциям. Целевой профиль, включающий оборонную промышленность Пакистана (MHIL), его военно-воздушные силы и телекоммуникационный сектор, а также государственные структуры Бангладеш, идеально совпадает с интересами этой группы.
Последствия таких кампаний выходят далеко за рамки кражи отдельных паролей. Компрометация почтовых аккаунтов сотрудников оборонных предприятий и военных ведомств открывает доступ к переписке, содержащей стратегическую информацию, данные о контрактах, перемещениях персонала и технологических разработках. Для телекоммуникационных компаний утечка может привести к компрометации внутренних сетей и данных абонентов. Двухэтапная схема кражи также демонстрирует расчёт на долгосрочную персистентность, когда злоумышленники стремятся закрепиться в нескольких системах для устойчивого сбора разведданных.
Оборонный сектор и государственные организации в регионах, традиционно подверженных подобным атакам, должны рассматривать такие кампании как прямое указание на необходимость усиления контроля за доступом. Внедрение многофакторной аутентификации, особенно на основе стандартов FIDO2, способно кардинально снизить риски даже при утечке паролей. Не менее важна постоянная осведомлённость сотрудников о методах целевого фишинга и тщательный мониторинг входящей почты, особенно с вложениями и ссылками. Для специалистов по безопасности ключевым уроком является важность анализа не только явных индикаторов компрометации, но и поведенческих паттернов, таких как аномальное использование облачных платформ и специфические параметры в веб-запросах, которые могут выдать целенаправленную кампанию на самой ранней стадии.
Индикаторы компрометации
IPv4
- 43.159.166.153
Domains
- lb-2jibk09k-1uo03wlhxdkp2yrn.clb.usw-tencentclb.com
- margallahil.com
- sjc1.cname.zeabur-dns.com
- zeabur.com
URLs
- http://neshortfile-showsopen-1--itdtegso2bd.replit.app/
- https://chdu4x.short.gy/MMiuEf
- https://contract-agreement-with-staff.zeabur.app/login.html
- https://iqwlwj.short.gy/Y5qMhQ
- https://maill-bcc-gov-bd-pdf.zeabur.app/
- https://mailscodomain-hubenkks.b4a.run/
- https://mail-zimbra-com.up.railway.app/
- https://mzrakq.short.gy/A6tpOv
- https://mzrakq.short.gy/FCViGX
- https://mzrakq.short.gy/tmBpOW
- https://openthesubjectfile.up.railway.app/
- https://page-view-mail.zeabur.app/
- https://royal-field-9144.girlfriendparty42.workers.dev/
- https://site4-map-com.zeabur.app/
- https://staff-performance-appraisals-nov-2025.zeabur.app/
- https://tinyurl.cx/clfVy
- https://tinyurl.cx/eSRaM
- https://tinyurl.cx/IRkqG
- https://tinyurl.cx/wwVrn
- https://wqqwysd-qwbeaxsb.zeabur.app/
- https://zimbra10-internationalrelation40-beep5751-brqupv53.leapcell.dev/
- https://zimbra10-nml3wp-max8143-3ipio7e5.leapcell.dev/
- https://zimbra10-nml3wp-max8143-fn1rsf7l.leapcell.dev/
- https://zimbra-com.up.railway.app/
- https://zimbramail-nayatel.leapcell.app/
- https://zimbramail-nayatel-com.zeabur.app/login.html
- https://zimbramail-nayatel-gov.leapcell.app/
- https://zimramail-nayatel.girlfriendparty42.workers.dev/
SHA256
- 06635593a68d32c8992ad23927074f2d8c922a9139eae7507af1879faa8c23fe
- 07c63a73d5f4d11f41dfe9afd9bd3a3f99a0eca4a62439cf8f03eb0964137b78
