Кибершпионская кампания, получившая название HumanitarianBait, использует тему гуманитарной помощи для скрытного внедрения вредоносного ПО на компьютеры жертв. Атака нацелена на русскоязычных пользователей: злоумышленники рассылают фишинговые письма с архивом, внутри которого находится файл-ярлык, запускающий цепочку заражения. В результате на устройстве бесшумно разворачивается бесфайловый шпионский инструмент на языке Python, способный перехватывать нажатия клавиш, похищать пароли из браузеров, делать скриншоты и даже получать удалённый доступ к рабочему столу. Подобный набор функций указывает на то, что атакующие заинтересованы в долговременном сборе разведывательных данных.
Описание
Как устроена атака
Всё начинается с электронного письма, содержащего RAR-архив. Внутри находится LNK-файл - это ярлык Windows, который внешне может выглядеть безобидным, но на самом деле содержит встроенный обфусцированный код. Размер такого файла существенно превышает обычный ярлык, поскольку в него записаны зашифрованные строки в кодировке Unicode. Когда жертва открывает архив и запускает ярлык, PowerShell считывает эти строки с определённого смещения, декодирует их и выполняет в памяти. Такой приём специально рассчитан на обход автоматических песочниц: при сканировании файл не проявляет активности, потому что для запуска нужен исходный ярлык на диске.
Сразу после этого с командного сервера злоумышленников загружается подложный документ - заявка на предоставление гуманитарной помощи на русском языке. Файл сохраняется во временную папку и открывается перед пользователем, пока в фоне идёт настоящая установка шпионского ПО. Специалисты также заметили второй вариант приманки - ссылку на опрос, что свидетельствует о постоянной адаптации методов атакующими.
Скрытное развёртывание среды
Чтобы не вызывать подозрений, вредоносная программа создаёт в папке пользователя "%APPDATA%" собственное окружение Python. Это не требует прав администратора и выглядит как обычная активность приложения. Директория называется "WindowsHelper", чтобы маскироваться под системный компонент. Разработчик проявил знание технических деталей: он корректно правит конфигурационный файл ".pth", чтобы заработал pip, то есть установщик пакетов. После этого загружаются нужные библиотеки, каждая из которых даёт определённую шпионскую возможность.
Полезная нагрузка скачивается из раздела Releases на GitHub. Атакующие создали специальный аккаунт, где хранят не только вредоносный архив, но и чистые файлы - например, официальный дистрибутив Python и установщик pip. Благодаря этому весь трафик загрузок выглядит как обычные обращения к GitHub, и сетевые фильтры его пропускают. Раздел Releases часто обновляется: хеш вредоносного архива меняется, что подтверждает активность кампании в реальном времени.
Закрепление в системе и сбор данных
После установки программа добавляет задание в планировщик задач Windows с именем "WindowsHelper". Это задание запускает код через VBScript-обёртки, используя "pythonw.exe" - версию интерпретатора, которая не показывает окно консоли. Благодаря этому шпионский модуль перезапускается после каждой перезагрузки и работает незаметно для пользователя.
Сам модуль защищён коммерческим обфускатором PyArmor v9.2 Pro. Анализ дизассемблированного кода показал полный набор возможностей. Инструмент собирает пароли и сессионные cookie из всех основных браузеров на основе Chromium (Chrome, Edge, Brave, Opera, Яндекс.Браузер), а также из Firefox. Для старых версий используется стандартная дешифровка через DPAPI, для новых - алгоритм AES-GCM. Параллельно в фоне работает кейлоггер: каждое нажатие клавиши записывается в файл и периодически отправляется на сервер. Буфер обмена мониторится непрерывно - всё, что копирует жертва, включая пароли и токены, уходит злоумышленнику. Скриншоты рабочего стола делаются через библиотеку mss, архивируются в ZIP и тоже передаются наружу.
Особо ценные файлы - документы, конфигурационные файлы, исходный код и файлы с криптовалютными ключами - собираются с рабочих папок пользователя. При этом программа ведёт базу данных SQLite "inventory_state.db", чтобы не загружать повторно неизменённые файлы. Кроме того, вор исполняет сессионную папку Telegram: если у жертвы установлен мессенджер, злоумышленники получают полный доступ к аккаунту без ввода пароля.
Удалённый доступ и инфраструктура управления
В коде обнаружена возможность бесшумно установить легитимные программы удалённого доступа - RustDesk или AnyDesk. Они загружаются с официальных страниц на GitHub, но запускаются со скрытым окном. Параметры подключения (ID и пароль) отправляются на сервер атакующих. Таким образом оператор может в любой момент подключиться к машине жертвы и работать на ней так, будто сидит лично.
Весь собранный трафик стекается на единый командный сервер с адресом 159.198.41.140. Сервер работает на Ubuntu Linux, использует nginx и Flask, база данных ведётся на Python. При обращении к нему открывается панель входа - "Login - Dashboard", через которую злоумышленник просматривает похищенные данные, управляет активными имплантами и запускает сеансы удалённого рабочего стола. Провайдер хостинга - Namecheap, сервер расположен в Атланте (США). Специалисты подтвердили активность панели по состоянию на май 2026 года.
Цели и атрибуция
Прямых указаний на конкретную группировку нет. Однако все приманки составлены на русском языке и касаются запросов на гуманитарную помощь. Это наводит на мысль, что жертвами становятся люди или организации, вовлечённые в оказание помощи, гражданскую администрацию или смежные государственные функции. Вероятно, операция направлена на сбор разведывательной информации о русскоязычных структурах, оказывающих гуманитарную поддержку. Применение бесфайловой архитектуры, коммерческого обфускатора и кастомизированного C2-сервера указывает на профессиональную и дисциплинированную команду, которая постоянно совершенствует свои методы.
Выводы
Кампания HumanitarianBait представляет собой хорошо продуманную шпионскую операцию, которая использует социальную инженерию и доверенные платформы для обхода защиты. Злоумышленники не просто воруют пароли - они получают полный контроль над устройством и могут в реальном времени следить за действиями пользователя. Учитывая, что кампания активна, а приманки адаптируются, всем русскоязычным пользователям стоит проявлять повышенную осторожность при открытии вложений якобы от благотворительных организаций. Любое неожиданное письмо с архивом или ссылкой на гуманитарный опрос должно быть проверено через альтернативный канал связи. Администраторам безопасности рекомендуется обращать внимание на появление подозрительных заданий в планировщике Windows, на скрытую установку инструментов удалённого доступа и на необычные обращения к GitHub со стороны пользовательских процессов.
Индикаторы компрометации
URLs
- http://159.198.41.140/static/builder/lnk_uploads/invo[.]pdf
- http://159.198.41.140/test/index.php?r=survey/index&sid=936926&newtest=Y&lang=ru%22
- https://github.com/leravalera2/dtfls/releases/download/dtfls/data.zip
SHA256
- 8a100cbdf79231e70cee2364ebd9a4433fda6b4de4929d705f26f7b68d6aeb79
- 9be61c95056fd6b63565cf51a196f2615f5360c0a42e616b2a618473e9d60a21
- a5b782901829861a6f458db404e8ec1a99c65a48393525e681742bb2a5db454d
