Новая кибергруппировка SiribClone атакует российских военных с помощью фишинга и шпионского ПО

Группировка использует комбинированные методы атаки. Она распространяет вредоносные файлы как для настольных компьютеров, так и для мобильных устройств. В качестве приманок применяются приложения для "безопасного обмена фотографиями", документы на военную тематику, а также сайты, маскирующиеся под популярные сервисы. Особый упор сделан на социальную инженерию. Участники SiribClone под видом девушек, желающих познакомиться, или волонтёров лично общаются с военными через мессенджеры. В январе‑феврале 2026 года такая активность была зафиксирована особенно интенсивно, но сетевые артефакты указывают, что фишинг через Telegram группировка применяет с лета 2025 года по настоящее время.

Исследование началось с файла, загруженного на платформу для анализа в феврале 2026 года. На Google-диске лежал архив "Решение по СВОДУ.zip", защищённый паролем. Внутри находился ярлык, который при открытии запускал команду PowerShell: она скачивала документ-приманку с сервера злоумышленников и загружала скрипт с GitHub. Этот скрипт содержал встроенный массив байтов, который загружался в память как .NET-сборка и вызывал функцию загрузчика. Загрузчик, в свою очередь, скачивал DLL-библиотеку, выполнявшую эксфильтрацию данных с помощью rclone. Специалисты F6 назвали это вредоносное ПО для Windows SiribGrabber.

SiribGrabber собирает с заражённой системы документы, изображения, видео, архивы и другие файлы с заданным набором фильтров. Он копирует их на удалённое хранилище, подконтрольное атакующим. Конфигурация для работы получается с GitHub и расшифровывается алгоритмом Base64 с AES. Вредонос проверяет наличие rclone на компьютере, при необходимости скачивает его и создаёт профиль подключения. После этого для каждого логического диска выполняется команда копирования, а в системе создаются bat- и ps1-файлы для автозагрузки. В ходе анализа были обнаружены два IP-адреса атакующих и GitHub-профиль evon-ch.

Специалисты F6 в своём отчёте подробно описали инфраструктуру группировки. Изучение GitHub-профиля evon-ch показало, что первые коммиты были сделаны 24 января 2025 года. Они содержали эксперименты с полезной нагрузкой. Позже, начиная с апреля 2026 года, в конфигурации появилась команда для кражи Telegram-сессии. В другой ветке нашёлся второй профиль - s1r1ban, активный с 24 декабря 2025 года по 6 февраля 2026 года. В его репозиториях хранились ещё более ранние конфигурации для тестирования. В метаданных LNK-файла также фигурировал ник zam040k, по которому удалось найти старые комментарии на украинских форумах.

Сетевой анализ выявил три основных командных сервера: 185.17.3[.]215, 185.186.244[.]57 и 208.92.227[.]183. С помощью графового анализа специалисты установили, что некоторые адреса связаны общим SSH-отпечатком и одним ETag. На двух из этих IP располагались веб-страницы: страница входа в менеджер похищенных Telegram-сессий, который атакующие назвали "КОНТУР". Это внутреннее приложение, позволяющее просматривать сообщения скомпрометированных аккаунтов. Данные похищенных сессий хранятся в базе данных. В заметках злоумышленников к жертвам встречаются описания геолокаций, званий и войсковых частей, что прямо указывает на их цель - военный шпионаж.

Фишинговые страницы имитируют вход через Telegram. Пользователь вводит номер телефона, код подтверждения и, если нужно, облачный пароль. Сервер делает запрос к Telegram API, получает авторизацию и сохраняет sessionString - ключ, дающий доступ к аккаунту. Полученные строки уходят в несколько мест: в приложение "КОНТУР", в Google Sheets и на внешний сервис. Всего специалисты нашли более двух десятков доменов, зарегистрированных группировкой. Самый ранний - verification.my - был просканирован сервисом анализа ссылок ещё 2 июня 2025 года.

Социальная инженерия играет ключевую роль. Злоумышленники под видом девушек знакомятся с военными через приложения для знакомств и Telegram. В ходе переписки они присылают ссылки на якобы "безопасное" приложение для обмена фотографиями или на "облачный сервис". Также фиксировались случаи, когда атакующие представлялись волонтёрами и предлагали заполнить таблицу по ссылке. Кроме того, они рассылали APK-файлы с названиями вроде Safeintim.apk. Это вредоносное приложение, получившее название SafeLoveStealer, классифицируется как шпионское ПО. Оно передаёт информацию об устройстве, геопозицию, данные сети, Wi-Fi, собирает файлы, записывает звук с микрофона и даже распознаёт речь. Приложение маскируется под легитимный обмен фотографиями, запрашивает минимум разрешений и имитирует реальную работу.

Атаки продолжаются. 12 мая 2026 года на платформе для анализа файлов появился архив "anketa2" с ярлыком и изображениями. Команда в ярлыке была аналогична февральской, а финальная нагрузка - обновлённая версия SiribGrabber с теми же командными серверами. За несколько дней до этого на одном из адресов атакующих зарегистрировали домен bezsmertniypolk.online. Главная страница предлагает пользователям добавить героев войны в онлайн-формат "Бессмертного полка". После заполнения формы предлагается скачать архив с "итоговой заявкой". При скачивании двух архивов один из них содержал вредоносный ярлык, другой - документ-приманку.

Таким образом, группировка SiribClone демонстрирует высокую адаптивность. Она использует разные каналы распространения, тематические приманки и современные методы социальной инженерии. Цель одна - получение доступа к данным российских военнослужащих для шпионажа. Организациям и частным лицам, особенно связанным с оборонной сферой, стоит проявлять повышенную бдительность при общении в мессенджерах и скачивании файлов из непроверенных источников.

IPv4

• 104.128.140.74
• 185.139.69.136
• 185.17.3.215
• 185.186.244.57
• 208.92.227.183

Domains

• alimony.work
• bezsmertniypolk.online
• cdekpost.express
• cloudisk.my
• cloudmail.agency
• cloudmail.watch
• cloud-mail-ru.pro
• geroispecoperacii.com
• getlogin.xyz
• helpmax.live
• invites.cloud
• joinchat.click
• joinlink.live
• lukoil.vip
• max-client.support
• project-matrix.net
• rufiles.com
• rumail.cloud
• sexcrimea.xyz
• stihipobedy.online
• stormapi.live
• telegra.ink
• telegrarm.me
• telgrm-service.org
• test-result.online
• tgdisc.me
• tgme-join.link
• tgverify.info
• tktk.photo
• tme.wiki
• verification.my

URLs

• http://185.17.3.215:11317/content/pt/SVODU.docx
• http://185.186.244.57:8754/06VFFR
• https://drive.google.com/file/d/1DjDui8hEf6GXTJeeETXCo1r3NBizj1WR/view?usp=drive_link
• https://github.com/evgenprosturkin-web/config.github.io
• https://github.com/evon-ch/ob/
• https://github.com/s1r1ban/pagesService.github.io

MD5

• 0c0f5c64f7987a2a7cd48db65424e390
• 1620f739ecfbcd95e980e65103f25788
• 29e01e2baa859d58f51e6b09f775a0cd
• 322f9389fc17a287f5b89be306ff46a6
• 5a347a773b02c62abec8e15dcf91e969
• 5b62b56d5bc31adde45a5bea2be6e9ba
• 714f4e8a0f9388bcb028073583853aa0
• 7b782a6b012aaa08531bd9023a018dad
• 815857a66e8b06d3d7053ad9786fcc11
• 96d8e059691fa827f396eb05d954c234
• b1002fecbb18ba056e8b8fa80ad73757
• c29f62d6e58854a0d44e77de01b94b3a
• d508b796f26968a2150c81f755d0178a
• db1d4c65473ca6a20d504957fa362e45
• dbfd5177b044514703dec50b5ca5a028

SHA1

• 02dbcdd03cb61e80f1c324a6d32a45deefefda9f
• 0b213b7f66754b8f655aec85742a19df433f9270
• 15c86cf3f404170a54be958fe755ca0a5a0791e9
• 16f2e36c94ec427df584d156a1f518c10135c00c
• 2b452223bd317d24ff0b0cfc38b966e0801ed19e
• 2b7f513b9d7b465312b80217d4c61a092ed6e173
• 2ff4834a519ed602028b0845d08594d3f4dda7e9
• 9806e22cc1284140d73f16174481ae0409bdf29c
• a2ca0914afc0e9d54f98496f9ae4a387bf7f4228
• ca6171b8a3d6443fe03bb277a5d51aa2acaa3657
• e04f327643c15a24095228224879305108eb1d49
• e5287d047c1c0e7c2c38e3eed7018b862d5a085c
• f52edeeb878901ce1c459b4c14e734c42c7e535b
• f9401374b88591c4da92265a0ef930993de2cdfb
• fc65c8adec6b3ef5b8f87c72634c21f1eb85a973

SHA256

• 15346cb21843f5250bc2a3af7f73ff814f5eab1272bf89b12c59d988526c219f
• 3f89e299f8da51205e1d00b295c6b0953f60bec15e4356cb168b920a2adc8a23
• 46b540454ddf4dbab3a85e6bcf96e5d492e89f847b9cac61398a70936fccfe2b
• 75f42a233af59677de769ec90757cc8f9c0ef9aacf18aa121ca4ec8760b495f9
• 7c4953d9b25e23d3a7bd7195555030433299736f011ec27a125be372226cecfb
• 82d98ad305dbd402ef0c03318d0a9efba6ac40bd5546d2684c2345524302d345
• 877740250f7187aac3801ac27e127c5999dcc49289a3a7bfebb4004197ed7050
• 886ae6fbfc66dc7146471a56a6cc588dce60c283379aa03f6ef627e5eebaa2d8
• 8b3f9b3b2a653d700d16c257a80d4d3ae234ca414afd413cc9a99eb398adaef4
• addf650d7da70065a780a0f66562da8d9f9868b074411686bb485bf3ed6419ae
• ae28651fd98dff904501c65c267ed355f95317873fa7e34bffb8fd0099807b4c
• c3350c110ccb6feaf976b1e12adfeeda46ab11c175cd71064bbb4d9511a17c04
• d5eb20080b7747a883a4ef1917fb77afb2887b66516b7aea1f7a1d3ef96626c0
• de44a8fa951e2c6b12b0f1f84b48738c18ba1c623258debce9b583173c1276a7
• f24bda38c02e4d20417cf5b6410e955dcf4a16ed0cb299eb4847dae1f4513754