Независимый исследователь Malwarebox выявил ранее неизвестного злоумышленника, получившего обозначение GhostShell (идентификатор MB-0009). Согласно опубликованному анализу, активность этого кластера фиксируется по меньшей мере с февраля 2026 года. Объектом атак стали организации и лица, связанные с украинским производством и эксплуатацией беспилотных летательных аппаратов (БПЛА). В качестве приманки используется документоведение украинской компании Besomar, специализирующейся на высокоточных БПЛА для обороны.
Описание
Вектор начального проникновения основан на эксплуатации уязвимостей CVE-2025-8088 и CVE-2025-6218. Злоумышленники распространяют архивы с именем Besomar_documentation.rar. При извлечении такого архива VBS-скрипт, входящий в его состав, копируется в папку автозагрузки Windows. Вместе с вредоносным скриптом внутри архива находятся PDF-файлы-приманки, содержащие техническую документацию о беспилотниках Besomar. Все файлы имеют одинаковый размер и дату создания - 6 июня 2026 года. Набор тем PDF включает информацию о БПЛА Besomar 3210, зарядных станциях, катапультах, модификациях и преимуществах сотрудничества. Этот целевой набор указывает на интерес к широкому кругу лиц: от военнослужащих и технических специалистов до сотрудников закупочных подразделений, волонтёрских организаций и оборонно-промышленных партнёров. Речь идёт не просто об операторах конкретных дронов, а о всей цепочке поставок и логистического обеспечения украинских беспилотных комплексов.
Анализ VBS-скриптов показал, что все они идентичны и сводятся к декодированию Base64-строки и последующему выполнению через функцию ExecuteGlobal. Затем скрипт загружает два исполняемых файла с сервера cloudaxis[.]cc: 122.exe и update.exe. Домен cloudaxis[.]cc был зарегистрирован в феврале 2026 года, что соответствует периоду начала активности кластера. При обращении по корневому пути сервер отдаёт поддельный веб-сайт, имитирующий легитимный ресурс, чтобы ввести в заблуждение автоматизированные системы проверки.
С помощью динамического анализа через песочницу удалось получить дополнительные образцы. Всего было выявлено три различных исполняемых файла, хостируемых на одной инфраструктуре: 122.exe, update.exe и 22.exe. Первый - 122.exe - представляет собой загрузчик, который после расшифровки встроенного оверлея (XOR-ключ d0cd4cb8d4673e28) загружает и выполняет в памяти второй этап. Этот этап является полноценным имплантом, использующим mTLS (взаимную аутентификацию с использованием сертификатов) для связи с командным сервером cdnexpress[.]cc. В имплант встроен клиентский сертификат с темой CN=ed6e62814295701f и эмитентом CN=GhostShell Implant CA. Данный центр сертификации, вероятно, является собственным и используется для генерации уникальных сертификатов каждому развернутому импланту. Связь ведётся через WinHTTP, при этом проверка серверного сертификата отключена. Имплант отправляет на сервер сведения об узле: имя компьютера, имя пользователя, версию импланта, идентификаторы процесса и потока. В его функциональность входят создание скриншотов через GDI+, выполнение команд через CreateProcess, запись файлов на диск и закрепление в реестре через ключ автозапуска CurrentVersion\Run. Также присутствуют антиотладочные проверки - вызовы IsDebuggerPresent и QueryPerformanceCounter.
Второй файл, update.exe, маскируется под службу Windows Security Health Service с помощью поддельной информации о версии. После проверки на песочницу (задержка, объём памяти, число процессоров) он обращается к странице Telegram t.me/flufff6262. Из содержимого страницы извлекаются данные между маркерами [CFG] и [/CFG], затем они декодируются из Base64 и расшифровываются XOR. Результатом является IP-адрес сервера управления. После этого update.exe запускает свою скрытую копию с параметром --exec <host>. В дочернем процессе патчатся функции EtwEventWrite и AmsiScanBuffer, также перезаписывается секция .text системной библиотеки ntdll.dll. Это необходимо для снятия пользовательских хуков, установленных средствами защиты конечных точек (EDR). Затем расшифровывается встроенный 757-байтный shellcode, который после замены IP-адреса выполняет соединение с сервером через WinINet по HTTPS. Данный этап по структуре и поведению сильно напоминает Metasploit-стилер reverse_https. Механизма постоянного закрепления не обнаружено - update.exe работает исключительно в памяти.
Третий файл, 22.exe, обнаружен случайно на той же инфраструктуре. Это многоступенчатый загрузчик на Go, который расшифровывает встроенный конфигурационный файл и извлекает два компонента: клиент Xray (прокси-инструмент) и нативный загрузчик Windows. Xray настраивает локальные HTTP- (127.0.0.1:10809) и SOCKS-прокси (10808), через которые трафик туннелируется по протоколу VLESS с использованием XTLS Vision и REALITY на сервер 5.181.156[.]168:25475. Нативный загрузчик патчит функции AmsiScanBuffer, AmsiOpenSession, EtwEventWrite, EtwEventWriteTransfer и NtTraceEvent, а затем расшифровывает и выполняет в памяти встроенный PE-файл. Этот файл идентифицирован как крадущая информация программа (инфостилер) Vidar v2. Vidar собирает пароли браузеров, файлы cookie, историю, данные автозаполнения, криптовалютные кошельки, расширения для криптовалют, переписку Telegram, Discord, Steam, конфигурации Outlook и FileZilla, системную информацию, скриншоты, а также файлы по заданию сервера. После завершения работы или по истечении заданного времени загрузчик останавливает запущенные процессы, отключает прокси, удаляет временные файлы и самоудаляется. Стойкого закрепления в этой цепочке также не выявлено.
Для атрибуции нового кластера исследователь применил модель SOLBIT, разделяющую доказательства на стратегические, операционные, лингвистические, поведенческие, инфраструктурные и технические домены. Стратегический домен (нацеленность на украинские БПЛА) - дешёвый для фальсификации сигнал. Лингвистических доказательств (свободный текст для стилометрии) практически нет - все PDF-файлы являются переводами технических документов. Операционные решения злоумышленника, такие как разделение регистраторов доменов (PDR и Spaceship), хостинг-провайдеров (Cogent в Мадриде и MivoCloud в Миссури), ротация инфраструктуры при сохранении однотипных подставных сайтов, указывают на дисциплинированную операцию, но не на конкретного спонсора. Поведенческий домен (игнорирование проверки сертификата, использование собственной PKI, индивидуальные идентификаторы имплантов) ценен для отслеживания, но не для национальной атрибуции. Наиболее весомым инфраструктурным сигналом является строка эмитента сертификата CN=GhostShell Implant CA - она почти наверняка жёстко прописана в билдере C2 и станет основным якорем для выявления других образцов того же кластера. Технический домен включает алгоритм дешифровки (i*7-0x58)&0xFF и шаблон маяка implant=v%u.%u.%u&host=%s&user=%s&pid=%lu&tid=%lu - эти паттерны пригодны для создания YARA-правил.
По совокупности SOLBIT позволяет уверенно идентифицировать GhostShell как самостоятельный кластер через его имплант CA, алгоритм расшифровки и инфраструктурные привычки. Вместе с тем, модель не позволяет приписать кластер какому-либо государству. Все поверхностные сигналы (украинские приманки, якобы выгода для России) являются дешёвыми и могут быть фальсифицированы, в то время как глубинные дорогие сигналы (криптография, PKI, инфраструктурная дисциплина) пока остаются нейтральными в отношении спонсора. Расхождения между поверхностными и глубинными сигналами, указывающего на ложный флаг (false flag), также не обнаружено. На данный момент GhostShell остаётся кластером без подтверждённой государственной атрибуции, но с чёткими и отслеживаемыми техническими признаками.
Индикаторы компрометации
IPv4
- 154.58.204.149
- 5.252.177.88
- 86.54.25.2
IPv4 Port Combination
- 5.181.156.168:25475
Domain
- cdnexpress.cc
- cloudaxis.cc
URL
- https://cdnexpress.cc/analytics
- https://cloudaxis.cc/gsmft/yueu/fkvqld/tvqqwh/ushu/122.exe
- https://cloudaxis.cc/gsmft/yueu/fkvqld/tvqqwh/ushu/22.exe
- https://cloudaxis.cc/gsmft/yueu/fkvqld/tvqqwh/ushu/update.exe
SHA256
- 1d6f3e8583ce84b892097a03b0d4525850f8d3c59dea56482f17e5c44422dc89
- 28f58061348a1c54fa6e7ff6618630259618d4afdf78514d5fccfc993797cdff
- 3ec6c91d68b416381ac9f6310a9e011f4060369c63416021864a6d5b91e97dc4
- 423c98b9a8ad09bbb0aa24e86c23095ef6a26e30b3db07358927929d2fb2ecb3
- 54218a8f2d1acc5d1beb576b970bb5333a4b78b05493754d2d1457ebf22a0ac1
- 59842745dafd1537c3e2187f82fae7791e646a74251fe20d6c8ebaadf5720880
- 8de34006dafd990853a45cbe9aaab4ee18c8cd4c1ad0a98fe71f8d63cd60db25
- a8dfa5a35f30c1789ce08b7e16660423bb1545fc8ec7411d24cfd41d1439bb45
- a938b7291dbdcdcadb67d560b94bfee366e7f97f06d6f666b25e298c442d8542
- ab5681266f70af7df24383f15de876e411fc18e35cb6f24603b12f580b05ccb3
- b1834634820ae696f0514ca2b6723061f115857232306e573f4d115bc6ead012
- c5c458a7b1bdfa3cbffdbcd0791912ff19267ad2808a5266a9975b22a53e73e0
- c83272741d42a7aa738fbad85e21d0565e50cbf3b72f32b835c225965b3cc207
- c91874dc34e991e614060d6f16da7d4680e5eb7d36fba489644863f4c6c8cf66
- cff6007dbb9826d0a08865f47a71b31e90c5067c637ac863e360315da984f107
- e4d377b339f96c69c3001b854b22decae41883bd31f2f5a8c20f57d931ae0b44