PhantomCore осваивает ИИ: новая версия трояна KermitRAT и платформа CyberStrikeAI усиливают угрозу для промышленности

Группировка PhantomCore, впервые обнаруженная специалистами компании F6 в 2024 году, но ведущая активность с 2022-го, изначально фокусировалась на хищении и уничтожении данных. Со временем её мотивация сместилась в сторону финансовой выгоды, включая шифрование инфраструктур жертв. Отличительной чертой этой APT-группы (продвинутой постоянной угрозы, Advanced Persistent Threat) является постоянная разработка собственного вредоносного программного обеспечения и адаптация тактик. В начале апреля 2026 года аналитики F6 выявили новую версию их трояна, получившего название KermitRAT. Его функционал включает сбор исчерпывающей информации о системе, кейлоггинг, создание скриншотов, удалённое выполнение команд и эксфильтрацию файлов по заданным шаблонам.

Атака, произошедшая 8 апреля 2026 года, началась с целенаправленной фишинговой рассылки на сотрудников промышленной компании. Письма, маскировавшиеся под уведомление о визите делегации из КНДР, содержали архив с вредоносным HTA-файлом. Этот файл, используя вложенный VBS-скрипт, разворачивал на компьютере жертвы многоэтапную цепочку исполнения, целью которой была загрузка и запуск конечной полезной нагрузки - того самого трояна KermitRAT. Для маскировки и отвлечения внимания пользователя параллельно загружался безвредный PDF-документ. Механизм закрепления в системе обеспечивался через создание записи в автозагрузке реестра Windows, что гарантировало постоянное присутствие вредоносной программы после перезагрузки.

Новый KermitRAT демонстрирует высокую степень автоматизации и модульности. После заражения троян устанавливает связь с командным сервером, периодически отправляя телеметрию и запрашивая задачи. Арсенал команд обширен: от сбора полного аудита системы в виде HTML-отчёта до избирательной эксфильтрации файлов по типу и размеру с использованием FTP. Особое внимание уделено модулю кейлоггера, который не только перехватывает нажатия клавиш, но и отслеживает содержимое буфера обмена, что крайне эффективно для кражи учётных данных и конфиденциальной информации. Примечательно, что в коде вредоносной программы были обнаружены комментарии на украинском языке, что служит одним из косвенных признаков для атрибуции.

Однако наиболее интересные находки были сделаны при анализе сетевой инфраструктуры, использованной злоумышленниками. На одном из задействованных IP-адресов, помимо ожидаемого командного сервера, исследователи обнаружили следы развёрнутой платформы CyberStrikeAI. Это решение с открытым исходным кодом, предназначенное для автоматизированного тестирования на проникновение, интегрирует более сотни инструментов для хакеров и использует ИИ-движок для оркестрации атак. Факт её наличия на инфраструктуре PhantomCore позволяет предположить, что группа активно изучает и, возможно, уже применяет подобные технологии для автоматизации разведки, сканирования уязвимостей и управления комплексными атаками. В своём отчёте эксперты F6 отмечают, что прямая активность платформы во время данной конкретной кампании не зафиксирована, однако её присутствие указывает на долгосрочные инвестиции группы в совершенствование своего арсенала.

Параллельно в рамках той же атаки злоумышленники использовали и более традиционные, но от этого не менее опасные инструменты. Через KermitRAT на заражённую систему была загружена и запущена легитимная утилита MeshAgent, входящая в состав платформы удалённого администрирования MeshCentral. Её установка предоставляет атакующим практически неограниченный контроль над компьютером, включая доступ к рабочему столу, файлам и возможность выполнять любые команды. Сочетание скрытного трояна, действующего как точка сбора данных и бэкдор, с мощным инструментом легитимного администрирования для прямого управления - это характерный для PhantomCore комбинированный подход, усиливающий устойчивость всей атакующей цепочки.

Последствия успешной атаки подобного масштаба для промышленного предприятия могут быть катастрофическими. Помимо прямой угрозы конфиденциальной информации, включающей чертежи, технологические схемы и данные о контрактах, злоумышленники получают возможность для длительного шпионажа, саботажа или подготовки к масштабной атаке программами-вымогателями, способной парализовать производство. Обнаружение же инструментов вроде CyberStrikeAI сигнализирует о том, что угроза становится не только более изощрённой, но и потенциально более масштабируемой. Группировки уровня PhantomCore стремятся минимизировать ручной труд, перекладывая часть задач на автоматизированные системы, что позволяет им одновременно вести больше атакующих операций.

Таким образом, эволюция PhantomCore служит наглядным примером современного тренда в киберпреступности: конвергенции ручных, целенаправленных техник APT-групп с возможностями автоматизации и искусственного интеллекта. Для защиты от подобных угроз организациям, особенно в промышленном секторе, необходимо выходить за рамки базовых мер. Ключевое значение приобретает внедрение решений класса XDR (расширенного обнаружения и реагирования), способных коррелировать события с конечных точек, сети и почтовых шлюзов для выявления сложных цепочек атаки. Не менее важна регулярная тренировка осведомлённости сотрудников о фишинге, поскольку именно человеческий фактор часто остаётся самым уязвимым звеном. Постоянный мониторинг сетевой инфраструктуры на предмет аномалий и признаков компрометации, а также строгое соблюдение принципа минимальных привилегий для учётных записей и служб могут существенно усложнить жизнь таким группировкам, как PhantomCore, вынуждая их раскрыться на ранних этапах атаки.

IPv4

• 46.37.123.101
• 46.37.123.16
• 94.183.183.69

Domains

• ministerstvo-inostrannykh-del.ru
• realty-visual.ru

URLs

• http://94.183.183.69:3000/
• https://realty-visual.ru/jk_strana_ozernaya/4gotovii_spisok_sotrudnikov_dlya_posejenia_meropriyatia.txt
• https://realty-visual.ru/jk_strana_ozernaya/5fulltext_spisok_sotrudnikov_dlya_posejenia_meropriyatia.txt
• https://realty-visual.ru/jk_strana_ozernaya/KNDR_2026.pdf

MD5

• 05fa2a9db255f37140e6716de4cf1716
• 0ac3839a2b23b9b96b63c650bf8f6530
• 3f039e92637c8d4169960e878d091f04
• 43ed7ce263151ae976bafbad3bc17742
• 86360fa1d33f8c2bd84607ab736123cf
• 8e674f0379dda936208a365760074b11
• 96d00bf02e6b3c70f6b6e0d524a1dc0d
• b1be02032c6e3ebefc467b5d0dd3ee07
• b22c21f19ab6d796df84b70d204804b4
• c65acfc2720de2a940c5f24cd98055fa
• ce8e7a3fa0b38165d60f4688e69490ce
• fbd9910e36b07c6d4a095c8aabc2c801

SHA1

• 03f426e4d9928ae5a2236aea8604e208039d4f25
• 1148dc9cd85c90aff2307e3d2ec8ba9bfe6a2413
• 267a1282c08fe1240e6f3d68396596e4cdb69b56
• 573e190020441283e99f27b7a62fe5d74d944dc0
• 6d79675d5d2df4d0b6c6e6c29502f7cad9cd9110
• 89673f31d51fca9f2aebaf3d654d5b9f812186f2
• 92c2701a8f15a45a5f3d6be1482f5af6851eb2a1
• 96c2c70300d0734c6993ddb6ed1214c5ae9c198b
• d3fcabc6a90c79aff24ea71c571484de74f631cd
• e4181463896b2f0f1d7daa353ae661e180407c71
• ea6d35dd96c7bf3ff7c51bb1dabb49db55648196
• fc5d8c3adade2bd27269d86a3883c6d9518e8836

SHA256

• 2679aaaa61a0d4270cc35c4a45d1717b04da17965269a2ae66bc4564f5582596
• 30918f193ddb02c46419928aab5ce1acc01544f20185190d40567041abbf980a
• 6255425f2d1ab8741a1381853519db79f2e0ca083ceae6a415bd954d3a7d39f3
• 660cb702830fc38c7981ea1b55f45679460452bc731d4f7acc36b14095682919
• 6d294b99742c673c07e74c1ccaead44a80f50511576bc9977079aed4b76231ee
• 73f5db0b04dfff8274ecb96dc3c10c8d4819627a20110dc763123d6ed3421fa9
• 79f027c533d8cf563c3cddf3744651a674d0dc03d56b932156806bcdb102c8d9
• 992cc3c6c3af7c7b443e59038864ab89e7f78a5ab3de517477f136072b4b38e3
• b4fa704eca8fad7e56e172c1bf7282248d3a058250cdb0bdfd493c979c03b11f
• bfac106c163b1e04eea4ec0bf2d46b2b4296130e660d335d1d9f44c3ddc89321
• d687509ed1e9e0a073a30e1a7fd1fb96ffc06c92858356202c7bd9a06d76d822
• f795725f53dbb711ac43d49032d2b64b3721e9036c760d531281a0a2767e4fd4