Новая фишинговая кампания Head Mare: бэкдор PhantomCore и туннелирование через SSH в корпоративные сети

В феврале 2026 года активность хактивистской группировки Head Mare демонстрирует нарастающую сложность и целенаправленность. Следом за недавно описанной операцией с использованием вредоносного ПО PhantomHeart эксперты «Лаборатории Касперского» обнаружили новую масштабную фишинговую рассылку. Её отличительная черта - применение обновлённой версии бэкдора PhantomCore, также известного как PhantomDL, и последующее создание сетевых туннелей для проникновения вглубь инфраструктуры. Эта кампания представляет серьёзную угрозу для российских компаний, поскольку использует социальную инженерию и легитимные системные инструменты для скрытного закрепления в сети.

Описание

Социальная инженерия как ключ к системе

Атака начинается с тщательно проработанного фишингового письма, которое рассылается от имени «ведущего специалиста договорного отдела» некоей научно-исследовательской организации. Текст имитирует деловое предложение о заключении договора, содержит убедительные контактные данные и побуждает получателя открыть вложение - зашифрованный архив. Пароль для архива, указанный в письме, максимально прост - текущий год, что снижает бдительность жертвы и ускоряет интеракцию. Внутри архива находятся файлы с двойным расширением, например, «Карточка предприятия.pdf.lnk». Эти ярлыки, маскирующиеся под документы, являются отправной точкой для цепочки заражения.

Цепочка заражения: от ярлыка до удалённой командной строки

При запуске такого ярлыка выполняется команда, которая обращается к удалённому серверу злоумышленников и загружает промежуточный PowerShell-скрипт. Этот скрипт выполняет сразу несколько функций. Во-первых, он загружает сам бэкдор - файл с безобидным названием USOCachedData.txt, который на самом деле является исполняемой библиотекой. Во-вторых, для обеспечения устойчивости в системе используется сложная техника закрепления, а именно подмена пути к системной библиотеке в реестре Windows, известная как PSFactoryBuffer COM Hijacking. В результате бэкдор автоматически активируется при обращении различных легитимных процессов к определённым компонентам операционной системы, что затрудняет его обнаружение.

Основная функция PhantomCore - предоставление атакующим удалённого доступа к командной строке заражённого компьютера. Обновлённая версия, написанная на C++ с обфусцированными строками, связывается с командным сервером (C2, Command and Control) по изменённым по сравнению с предыдущими версиями маршрутам. После регистрации в инфраструктуре злоумышленников бот начинает выполнять поступающие команды, которые позволяют не только контролировать отдельную рабочую станцию, но и продвигаться по сети.

Эскалация привилегий и скрытное туннелирование

Ключевым этапом атаки после первоначального заражения становится создание сетевого туннеля. Получив контроль, злоумышленники отдают бэкдору команды на скачивание и запуск специального модуля под названием TemplateMaintenanceHost.exe. Этот инструмент, написанный на языке Golang, предназначен для управления легитимным клиентом SSH, встроенным в современные версии Windows. Модуль запускает процесс ssh.exe с параметрами, которые организуют обратное туннелирование трафика на контролируемый атакующими сервер.

Конкретно, создаётся туннель типа reverse SSH, где заражённая машина инициирует соединение с внешним сервером злоумышленников, открывая порт для входящих подключений. В результате атакующие получают возможность использовать скомпрометированный узел в качестве прокси-сервера типа SOCKS5 для доступа к другим ресурсам внутренней корпоративной сети, которые извне недоступны. Этот метод позволяет обходить периметровые средства защиты, такие как межсетевые экраны, и проводить разведку или атаки на критически важные системы.

Цели и рекомендации по защите

Данная кампания затронула несколько сотен пользователей из российских организаций. В зоне риска оказались как государственные учреждения, так и компании из логистического, финансового и промышленного секторов. Использование легитимных инструментов, таких как PowerShell и SSH, делает обнаружение атаки сложной задачей для классических антивирусных решений, сфокусированных на сигнатурах вредоносных файлов.

Для противодействия подобным угрозам необходимы многоуровневые меры защиты. Во-первых, критически важна регулярная тренировка осведомлённости сотрудников о фишинге, особенно для работников, взаимодействующих с внешними контрагентами. Во-вторых, необходимо внедрять решения класса EDR (Endpoint Detection and Response), которые способны анализировать поведение процессов и выявлять аномальные цепочки выполнения, например, запуск PowerShell из файлов-ярлыков или создание нестандартных сетевых туннелей. В-третьих, следует применять принцип минимальных привилегий и сегментировать сеть, чтобы ограничить перемещение злоумышленника даже в случае успешного проникновения на одну из рабочих станций. Кроме того, мониторинг сетевой активности на предмет нехарактерных исходящих SSH-соединений может помочь в своевременном обнаружении инцидента. Комбинация технических средств и организационных мер остаётся наиболее эффективным способом защиты от современных целевых атак.