Новая кампания угроз нацелена на российский корпоративный сектор через фишинговые документы о премиях

Кампания, получившая внутреннее обозначение UNG0902, отслеживается с ноября 2025 года. Её географический фокус сосредоточен исключительно на Российской Федерации. Основными целями являются сотрудники корпоративного сектора, особенно в сферах управления персоналом и финансов.

Исследователи обнаружили на VirusTotal вредоносный ZIP-архив с названием «Премия 2025.zip». Внутри архива находился файл с двойным расширением «Документ_1_О_размере_годовой_премии.pdf.lnk», маскирующийся под PDF-документ. Этот ярлык (LNK-файл) выступает в роли начального загрузчика. При его открытии запускается скрытая команда PowerShell, которая загружает с удалённого сервера исполняемый файл, получивший название DUPERUNNER.

Документ-приманка, также входящий в архив, тщательно оформлен. Он озаглавлен «О размере годовой премии» и стилизован под внутренний регламент компании. В тексте описывается процедура расчёта премии в размере 15% от оклада, привязка к ключевым показателям эффективности (KPI) и корпоративным стандартам. Подобное содержание повышает доверие жертвы и мотивирует её открыть вредоносное вложение.

Технический анализ выявил трёхэтапную цепочку атаки. На первом этапе LNK-файл с помощью утилиты PowerShell (LOLBIN) незаметно загружает имплант DUPERUNNER. Этот имплант, написанный на C++, обладает несколькими функциями. Интересно, что одна из них загружает и открывает на компьютере жертвы тот самый PDF-документ-приманку, что уже содержится в архиве. Эта избыточность может быть как ошибкой злоумышленников, так и намеренным действием для отвлечения внимания.

Далее DUPERUNNER ищет подходящий процесс для внедрения, такой как explorer.exe или msedge.exe, используя стандартные API Windows. После этого он загружает финальную полезную нагрузку (payload) - бекдор AdaptixC2 Beacon, скрытый в файле, маскирующемся под веб-шрифт (fontawesome.woff). Финальным шагом является классическая инъекция удалённого потока (Remote-Thread Injection), когда код бекдора выполняется в памяти легитимного процесса.

Анализ бекдора AdaptixC2, который является открытым проектом, позволил извлечь его конфигурацию. Были обнаружены уникальный идентификатор маячка (Beacon-ID), пользовательский агент (User-Agent) и адрес командного сервера (C2). Бекдор связывался с инфраструктурой злоумышленников по протоколу HTTP методом POST.

Инфраструктура кампании включает как минимум два IP-адреса. Один использовался для первоначальной загрузки импланта, а второй выступал в роли командного центра. Оба сервера работали под управлением веб-сервера Apache. Хостинг связан с российскими интернет-провайдерами, чьи автономные системы (ASN) зарегистрированы как VDSINA-AS (AS 48282) и TIMEWEB-AS (AS 9123).

Использование тематики внутренних финансовых документов, многоступенчатая цепочка с применением легитимных системных утилит (LOLBIN) и попытка скрыть конечный вредоносный код указывают на достаточно высокий уровень подготовки угрозы. Хотя на данный момент атрибуция кампании к какой-либо группе или государственному спонсору не представлена, её целевой характер и методы говорят о целенаправленных действиях. Эксперты SEQRITE продолжают мониторинг данной активности.

SHA256

• 1e0c5129ac74989754b7c27be9e12b1ebf90fa5f81db6d7fe5f1aa050a914cf9
• 2cd715d0702fd70fda45c0569a38b3d983de1a8cf23b559293a7c0623da69c90
• 3a52c13d00af0486095ee4007fd72dae646d3c7384754744507e33537b3fdf2a
• 3ce5ab897b7f33bc1b9036abc8e7d2812b385fbab404dad686afaf9fb83fe07a
• 432974205e1ce4c1d2c0e6bf6ebfafd90f6c19451eec0485ac46beaf65247763
• 48b9f78899b8a3daaeb9cbf7245350a6222cbf0468cd5c2bab954c8dbbce3995
• 7157be86c6612c59e5120ae00260f4268b19560fa5a6fa52ed54d72868070d50
• 87db5cbd76e7adeb6932c4ae14f3d3bb736d631460d65e067fb2a0083b675399
• 8c075d89eee37a58f1f3a8bf0cbd97e0c8f00e73179a36eb2cd8745024c1c4ee
• ba6902efd3771a564785bdae68fa5f5ac12b7ebd828e8975459fff0136e2efdb
• d9e2b6341f6de5c95dd02cf3350c07cd2be3b0a78b82c073229396b6d4c8d3c1