Киберальянсы новой эры: Gamaredon и Lazarus объединяют усилия

Хакерские группировки традиционно работают изолированно, продвигая интересы своих стран. Любые признаки координации между ними вызывают серьезную озабоченность. Однако новые данные, собранные исследователями Gen, указывают на возможное оперативное взаимодействие между двумя наиболее агрессивными APT-акторами в мире. Обнаруженная связь предполагает не просто техническое совпадение, а отражает новую стадию киберконфликта, где геополитические альянсы находят прямое отражение в совместных цифровых операциях.

28 июля 2025 года системы мониторинга Gen зафиксировали подозрительное событие, связавшее активность Gamaredon и Lazarus через общий IP-адрес. Значимость этого события трудно переоценить: две группировки из разных стран потенциально координируют действия на операционном уровне. Это развитие согласуется с общими тенденциями, отмеченными в отчете об угрозах за третий квартал 2025 года, где операции демонстрируют растущую сложность и диверсификацию инфраструктуры.

24 июля 2025 года система отслеживания командных серверов Gamaredon заблокировала IP-адрес 144.172.112[.]106. Четыре дня спустя этот же сервер размещал обфусцированную версию вредоносного ПО InvisibleFerret, ассоциируемого с Lazarus. Полезная нагрузка соответствовала инструментарию Lazarus и доставлялась через идентичную серверную структуру, ранее наблюдавшуюся в кампании ContagiousInterview.

Потенциальное партнерство может иметь далеко идущие последствия. Экспертиза Lazarus в монетизации кибератак через кражу криптовалют может помочь Gamaredon финансировать будущие операции. Хотя межграничное сотрудничество APT встречается редко, координация внутри национальных экосистем становится обычной практикой. Исследователи Gen обнаружили повторное использование инфраструктуры между Lazarus и другой группировкой Kimsuky. Аналогично, индийские группы DoNot и SideWinder демонстрируют схожие паттерны взаимодействия, что указывает на становление внутристранового партнерства тактической нормой.

Доказательства совместного использования инфраструктуры Lazarus и Gamaredon представляют собой значительное развитие глобального ландшафта угроз. Исторически межгосударственные коллаборации APT были чрезвычайно редки, с единичными подтвержденными случаями вроде Stuxnet и Regin. Потенциальное партнерство сигнализирует о сдвиге в сторону более сложных и непредсказуемых альянсов, где геополитические интересы определяют операционную конвергенцию.

Эпоха изолированных операций APT подходит к концу. Поскольку противники эволюционируют через Коллаборация, защитники должны отвечать сопоставимой гибкостью и кооперацией для обеспечения безопасности критически важных активов. Глобальное киберпространство вступает в период стратегических альянсов, где традиционные границы между государственными и криминальными акторами становятся все более прозрачными.

IPv4

• 144.172.112.106
• 216.219.87.41

SHA256

• 0f9fc01896dc53e3f756d331611d14e03e5b3a6b68f7ade07fda772d2eba5c88
• 39b46df37060311307644bde95b00e8482a5d7895d88bd45853aa05b3a417a4a
• 8bb089d763d5d4b4f96ae59eb9d8f919e6a49611c183f636bfd5c01696447938
• 934c7f18c06243ae9ad2709be163d61524523c614da9794fa760f85d5d06082a
• cce27340fd6f32d96c65b7b1034c65d5026d7d0b96c80bcf31e40ab4b8834bcd
• f4d10604980f8f556440460adc71883f04e24231d0a9a3a323a86651405bedfb