Масштабная кампания кибершпионажа и признаки раскола в APT-группировке PhantomCore

Кампания началась с рассылки фишинговых писем, маскирующихся под документы для рассмотрения. ZIP-архивы содержали LNK-файлы, которые при запуске открывали PDF-приманку и скрытно устанавливали бэкдор PhantomRAT. Этот инструмент, написанный на Go, обеспечивал первоначальный доступ к системам жертв и загружал последующие стадии атаки.

Инфраструктура группировки демонстрирует высокую степень сегментации. Она включает взломанные российские сайты, фишинговые ресурсы с fake CAPTCHA, payload-хабы, MeshCentral серверы, SSH-туннели и кастомные панели управления Phantom. Почти половина серверов (48%) расположены в России, преимущественно у провайдеров LLC Smart Ape, Mt Finance LLC и First Server Limited. Остальная инфраструктура распределена между Финляндией, Францией, Нидерландами и другими странами.

Арсенал PhantomCore впечатляет разнообразием: от опенсорсных утилит до кастомных разработок. Помимо PhantomRAT, группировка использует бэкдор PhantomRShell на C++, PowerShell-инструмент PhantomTaskShell для управления через панель Phantom, стилер PhantomStealer для кражи учетных данных, а также легитимные утилиты типа MeshAgent, RClone и XenArmor All-In-One Password Recovery Pro.

Кill chain атаки включает несколько этапов. После первоначального доступа следует закрепление в системе через планировщик задач Windows, установка SSH-туннелей и запуск MeshAgent для удаленного управления. На этапе сбора данных операторы используют фишинговые сайты с имитацией CAPTCHA, а для эксфильтрации - облачное хранилище Mega.nz через RClone.

Особую озабоченность вызывает возможный раскол в группировке. В апреле 2025 года был обнаружен новый инструмент PhantomGoShell, имеющий сходство с арсеналом PhantomCore, но используемый низкоквалифицированными хакерами. Анализ поведения операторов указывает на их связь с русскоязычными игровыми сообществами в Discord, причем некоторые участники являются несовершеннолетними. Эксперты полагают, что это ответвление организовано одним из членов основного костяка PhantomCore в качестве киберкриминального стартапа.

Среднее время пребывания группировки в компрометированных сетях составляет 24 дня, максимальное - 78 дней. На момент публикации отчета 49 хостов остаются под контролем атакующих. Жертвами стали органы государственной власти, предприятия ОПК, судостроительные и научно-исследовательские институты, а также компании химической, горнодобывающей и обрабатывающей промышленности.

Экспертный центр безопасности Positive Technologies прогнозирует сохранение высокой угрозы со стороны PhantomCore и рекомендует организациям использовать комплексные решения, сочетающие экспертизу обнаружения и актуальные данные киберразведки. Мониторинг активности группировки продолжается, а данные о новых IOC регулярно поступают в продукты компании для своевременного предотвращения инцидентов.

IPv4

• 185.130.249.224
• 185.130.251.219
• 185.130.251.227
• 185.225.17.104
• 188.127.254.234
• 188.127.254.44
• 193.187.174.251
• 193.187.174.3
• 194.116.215.166
• 194.116.215.36
• 194.87.253.233
• 195.133.32.213
• 195.58.54.39
• 213.232.204.110
• 217.19.4.206
• 45.158.169.131
• 45.8.228.253
• 46.8.71.104
• 88.66.89.231
• 91.219.151.103
• 91.219.151.59
• 91.239.148.21
• 91.239.148.211

Domains

• austolns.pw
• mgfoms.org
• nextcloud.1cbit.dev
• nextcloud.soft-trust.com
• nextcloud.trust-sec.it.com
• softline-solutions.cloud

MD5

• 016ebfd9c774fac33ad95be75595e9e1
• 10bbc42c0aa376ba0c53733f47c3d251
• 20d4805eb8547e9b28672a31adbc3600
• 27210561cccac29d590b2ecd60670ab8
• 33f3cb133c23760869244a322b386d77
• 43651c96ed10637b5c0e454c32e4809a
• 5437e08743347bca0430689341198e57
• 55b31d3ae389473e6aee7a9a41e21bd2
• 65967d019076e700deb20dcbc989c99c
• 72bacb7c922053694cd2b3324c7de2a0
• 75a26a138783032ee18dcfc713b1b34c
• 7e52be17fd33a281c70fec14805113a8
• 996084dc1175befd223d495a10c0e9e9
• a0846758c1852d141f657dd6a01adcce
• a2481680fe6f44d8d5ce2397a300a85f
• b49a7ef89cfb317a540996c3425fcdc2
• b586cf958334415777719bf512304fbd
• be990a49fa1e3789ebc5c55961038029
• cd915c6d6cb455fb2786cb4e2debdafc
• e3493bced3a25d0bf61980cb797afca5
• e58777bd5d52fe5ec4ea20ccd1b92c57

SHA1

• 04d364d7cc98379352e89757d62521271cb410cb
• 0d249e064f42cff0ec3deaff285811a14cffb8f1
• 293bd87a7b909b13cad58833366adb2711cbcdcd
• 2f6c55acf5ed41321a4ac4d728e31b8ee02ff34f
• 3e764cb46a922703d864b6055eeefd2beacb97c8
• 49a18dc1d8f84394d3373481dbac89d11e373dbd
• 5469ae3e42e962746e4671a5587fdc009e6f60fe
• 57c983f14bf810236eddc067277ba9daeb7a2de7
• 5fc484e0d81b5edd021e91407b7bd98b8a8d13f1
• 5fe6ae13ed4d0b3302a023cd81eed28252b8e166
• 6942e07e7d08781cba571211a08e779838e72e9a
• 775b7e726ba6cf6d9a6463a62797c97612018066
• 851157c01da6e85ffa94ded7f42cab19aa8528d6
• 8aa3394ced3fcc14004f51062c658c4967d0cc40
• a862e22462f721830df414be16595eb2f8900291
• c059ee9b367a7e8cfdfcc2da3d9cc851c47f4ffd
• c679d9cffe1bd722c4ee78f63328833264c5257e
• d9a4fd39a55cd20d55e00d3cace3f637b8888213
• e268dd5068ad19faed1ed0e7fd045b67ccb95cdd
• ed6ab3142369a6707d55552f40c8a5efd705f15b
• efa8725598260e13647836abe2e500c089839839

SHA256

• 01f12bb3f4359fae1138a194237914f4fcdbf9e472804e428a765ad820f399be
• 204544fc8a8cac64bb07825a7bd58c54cb3e605707e2d72206ac23a1657bfe1e
• 2611121e4100b60e8644211bdc831144ba8b772d4d40e616864e7a723a9d7bf8
• 278f051832c4b2c95ba899d685478bd3430f74d21aea367377cc17788c3a5638
• 2d79ea29838f1c35648658bbb6e48573630c15a113cd16f045fcf5a310411cab
• 31cc62a06720e0c20f03e0cb912bb92b20e5f339ae9c7280b235f63ac35eda9a
• 413c9e2963b8cca256d3960285854614e2f2e78dba023713b3dd67af369d5d08
• 4c78d6bba282aaff0eab749cfa8a28e432f7cbf9c61dec8de8f4800fd27e0314
• 9287fd8adc333469eabe655ccf13b78e1abb6e42c0cc6817ae66372fb126a683
• 9f9acdd833f3fd7b8bf987a8cc17e9456546fdcbcfe80c3b0dfc57c6f62d3e4b
• a2be4d9fdba560a4706ff8c4b32f092ef476f203c96e1b4afaf391cfe82aa533
• ad0e3a42120602534512ac4a4415a9fb867f0ecc71b6d341c2ebded7a52e0afe
• b350beb7f069da939aec1eef6fd428fcbc0e17edac983dc87e67716d83a04822
• b683235791e3106971269259026e05fdc2a4008f703ff2a4d32642877e57429a
• b701272e20db5e485fe8b4f480ed05bcdba88c386d44dc4a17fe9a7b6b9c026b
• be14fc604c840c3afff9542106c73ed247417de5a56b1e9b2843e7947f0722d9
• c34fb316e7b60cff25be9c86e5736b802b9e99b1ac29daa03b08c3435b6ada8c
• c3d05d7d6e1c50c6bd493fd5613c3204e6beadf8b6e4915cdf2f899fabf86a4e
• c67cf425d688bba6dbe00e6d86a501f6978664ff99c1811c7104f4a3f4b7e884
• d7d6894c2fbce3d91af8de50e7cd649f12627d94a1a9b430f6e583714d48be29
• ed9b24a77a74cd34c96b30f8de794fe85eb1d9f188f516bd7d6020cc81a86728