Кибершпионы под прикрытием: как фишинговые кампании маскируются под антивирусы

Цели и методы доставки

Группа UNG0801 сосредоточена на предприятиях в Израиле, преимущественно в секторах информационных технологий, разработки программного обеспечения, а также в сфере управления персоналом и кадровых услуг. Основным вектором атак является фишинг с использованием тщательно продуманных приманок на иврите. Эти письма имитируют рутинные внутренние коммуникации, такие как обновления политик соответствия, рекомендации по безопасности или анонсы корпоративных вебинаров. При этом злоумышленники активно злоупотребляют иконками и брендингом известных компаний в области кибербезопасности, в частности SentinelOne и Check Point, чтобы вызвать у жертвы ложное чувство доверия и легитимности.

Вредоносная нагрузка (payload) доставляется через специально подготовленные документы Word и PDF. После открытия такие документы либо извлекают, либо запускают содержимое, замаскированное под антивирусный сканер. Эта тактика значительно повышает вероятность того, что пользователь взаимодействует с угрозой, что ведет к дальнейшему компрометированию системы. Исследователи идентифицировали две параллельные кампании в рамках Operation IconCat, начавшиеся в третью неделю ноября 2025 года. Несмотря на различия в используемых имплантах и инфраструктуре, единый сценарий с подделкой иконок антивирусов в узком временном окне указывает на общего оператора или общую тактику, что и позволило объединить их в кластер UNG0801.

Анализ кампаний и вредоносного ПО

Первая кампания использует PDF-документ, который убеждает жертву загрузить с Dropbox так называемый "Сканер безопасности", стилизованный под продукт Check Point. Финальная нагрузка представляет собой имплант, упакованный с помощью PyInstaller, который исследователи обозначили как PYTRIC. Анализ кода показал, что этот имплант способен выполнять деструктивные действия, включая команды для очистки системы и удаления резервных копий. Для связи с операторами используется бот в Telegram, что указывает на относительно низкий уровень профессионализма разработки.

Вторая кампания более сложная и использует фишинговое письмо, маскирующееся под коммуникацию от израильской HR-компании L.M. Group. Вложение содержит документ Word с макросами, который, в свою очередь, извлекает и запускает финальный имплант, написанный на Rust и названный RUSTRIC. Этот имплант демонстрирует более продвинутые возможности, в первую очередь направленные на разведку. Он активно выполняет поиск установленных на системе антивирусных продуктов, перечисляя более 28 решений, включая CrowdStrike, ESET, Kaspersky и другие. После сбора системной информации (имя пользователя, имя компьютера) имплант пытается установить соединение с командным сервером (C2).

Инфраструктура и выводы

Инфраструктурный анализ выявил использование злоумышленниками дешевых или перепрофилированных виртуальных частных серверов (VPS). В частности, для второй кампании был задействован домен, который указывал на сервер, до сих пор сохранявший конфигурацию и TLS-сертификат от предыдущего, легитимного домена. Подобные следы часто встречаются в низкобюджетных операциях. При этом первая кампания полагалась на публичные мессенджеры, а вторая - на выделенный C2-сервер.

Таким образом, обе кампании объединяет уникальный сценарий (playbook), основанный на злоупотреблении доверием к иконкам антивирусных продуктов для запуска вредоносного кода. Однако их конечные цели, судя по функционалу имплантов, различаются. PYTRIC из первой кампании носит потенциально деструктивный характер, в то время как RUSTRIC из второй ориентирован на шпионаж и сбор информации, что характерно для групп продвинутой постоянной угрозы (APT). Приписывание этой активности определенной группировке остается сложной задачей. Тем не менее, единые тактические приемы и временные рамки позволяют исследователям с уверенностью связать эти атаки в рамках кластера UNG0801. Данная оценка может быть пересмотрена по мере поступления новой информации.

IPv4

• 159.198.68.25

Domains

• stratioai.org

URLs

• https://www.dropbox.com/scl/fi/e2tctz6iy0s81dcxysbkf/help.pdf?rlkey=4b3uydquzd0h5xe7lk0gk95r9&st=c1qfydwi&dl=1

SHA256

• 2afcac3231235b5cea0fc702d705ec76afec424a9cec820749b83b6299d1fe1b
• 54ebdea80d30660f1d7be0b71bc3eb04189ef2036cdbba24d60f474547d3516a
• 6df21646d13c5b68c14c70516dfc74ef2aef4a4246970d7f4fbd072053ba40e6
• 6f079c1e2655ed391fb8f0b6bfafa126acf905732b5554f38a9d32d0b9ca407d
• 77ceeb88a1fe4fb03af1acc589e02aeb156e3b22b110124ce1b25c940b0d9bbe
• e422c2f25fbb4951f069c6ba24e9b917e95edb9019c10d34de4309f480c342df