Специалисты компании F6 раскрыли новые детали деятельности киберпреступной группы PhantomCore, которая с 2022 года атакует российские и белорусские компании. Изначально злоумышленники сосредотачивались на краже, повреждении и уничтожении данных, но к 2024 году перешли к шифрованию инфраструктур жертв с целью финансовой выгоды. Отличительной чертой группы является использование вредоносного ПО собственной разработки, которое постоянно совершенствуется.
Описание
23 мая 2025 года на киберфестивале Positive Hack Days в Москве департамент киберразведки F6 представил доклад о PhantomCore, включая ранее неизвестные активности 2022 года. В новом исследовании эксперты детально разобрали эволюцию инструментов группы, включая обновленную версию бэкдора PhantomeCore.GreqBackdoor v.2, использовавшегося в атаках в мае 2025 года.
Следы 2022 года: StatRAT и вайп данных
Анализ инфраструктуры PhantomCore позволил выявить домены, зарегистрированные еще в 2022 году, включая stat-dashgd[.]ru, который использовался как C2-сервер для вредоносной программы StatRAT. Этот троян удаленного доступа, написанный на .NET, не только крал данные (скриншоты, историю браузеров, учетные записи FileZilla), но и содержал модуль для уничтожения файлов на дисках. StatRAT закреплялся в системе через планировщик задач и мог активировать вайп данных при определенных условиях, например, при обнаружении песочницы.
Новые атаки 2025 года: фишинг и Golang-бэкдор
В мае 2025 года PhantomCore возобновила атаки через фишинговые письма с темой «Документы на рассмотрение (повторно)». Вложениями выступали ZIP-архивы с исполняемыми файлами, маскирующимися под документы. Запуск LNK-файла внутри архива инициировал PowerShell-сценарий, который развертывал бэкдор PhantomeCore.GreqBackdoor v.2, написанный на Golang.
Новый бэкдор собирал телеметрию (имя ПК, IP-адреса, данные ОС) и взаимодействовал с C2-сервером 195[.]58[.]54[.]39, выполняя команды на зараженной системе: загрузку файлов, выполнение произвольных команд и запуск процессов.
Выводы
PhantomCore демонстрирует высокую адаптивность: от самописных .NET-троянов до Golang-имплантов, от кражи данных до шифровальщиков. Группа активно использует социальную инженерию и постоянно обновляет инфраструктуру, что осложняет ее обнаружение. Компаниям рекомендуется усилить защиту корпоративной почты, мониторить подозрительные домены и обновлять системы для противодействия новым угрозам.
Индикаторы компрометации
IPv4
- 195.133.32.194
- 195.58.54.39
Domains
- 24windows.ru
- airgrupdate.ru
- bazartop.ru
- java-stat.ru
- mastersync.ru
- officesync.ru
- rawgithubcontent.ru
- stat-dashgd.ru
- supportsecure.ru
- supportsecurity.ru
- syncpulse.ru
- update54.ru
- updateapi.ru
- updatecanonical.ru
- updatesioa.ru
URLs
- http://195.58.54.39:80/check
- http://195.58.54.39:80/command
- http://195.58.54.39:80/connect
- http://195.58.54.39:80/init
- https://stat-dashgd.ru/main-stat/statistics.php
- https://stat-dashgd.ru/main-stat/test-connect.php
- https://stat-dashgd.ru/main-stat/visiting-downloads
- https://stat-dashgd.ru/main-stat/visiting-log.php
MD5
- 1bca485be5a9d976dea5cb372859f30b
- 225a32915439dd0056520093b68a0704
- 43651c96ed10637b5c0e454c32e4809a
- 4e167675c52ee7428bf0ba90f59b1a8f
- 5437e08743347bca0430689341198e57
- 55b31d3ae389473e6aee7a9a41e21bd2
- 57384d60dab044887d741150fe03fa52
- 5f8b1dbc51da577d606bcabd42e40876
- 6b674a4a15a44f730094081a5d226f91
- 6bb56e264b343c4b81ea1c99769f4905
- a0846758c1852d141f657dd6a01adcce
- a18f173d63df0ed0677182a747f81c52
- cd3440cf9f20faa30a743d8408eb9217
- d7185eae76afdd78f8cadaf81dd88ba1
- e3493bced3a25d0bf61980cb797afca5