Специалисты обнаружили целевую кампанию против военно-промышленного сектора с использованием редко встречающейся техники компиляции Python-кода

Кампания носит ярко выраженный геополитический характер. В качестве приманки (ловушки) злоумышленники использовали документы, посвящённые двум актуальным событиям: предстоящей оборонной выставке в Пакистане IDEAS 2026 и военным учениям НАТО Steadfast Dart 2026. Это указывает на точный выбор целей, к которым, предположительно, относятся предприятия оборонно-промышленного комплекса, государственные дипломатические сотрудники и военные исследовательские институты. Атака демонстрирует высокий уровень подготовки её исполнителей, которые проявляют активность как минимум с февраля 2026 года.

Согласно анализу, несмотря на то, что исходные фишинговые письма не были перехвачены, механизм атаки можно восстановить. Скорее всего, жертвам направлялись письма с защищённым паролем архивным вложением, например, "29_IDEAS_2026_Final.rar". Пароль для распаковки указывался в тексте письма. Внутри архива находились два ключевых файла: CHM-документ (скомпилированный HTML-файл справки Windows) и исполняемый EXE-файл с идентичным названием. CHM-файл, маскирующийся под официальное письмо для Пакистанского национального института морских дел (NIMA), содержал скрытый вредоносный скрипт. При его открытии, используя уязвимости в объекте ActiveX, автоматически запускался находящийся в той же папке EXE-файл.

Именно этот исполняемый файл и представляет собой основную техническую инновацию данной атаки. Он был создан с помощью компилятора Nuitka в режиме "--mode=onefile", который упаковывает всю программу на Python и необходимые библиотеки в единый исполняемый файл, не требующий установленного интерпретатора Python на целевой системе. Однако, в отличие от распространённых упаковщиков вроде PyInstaller, Nuitka не просто упаковывает байт-код, а транслирует Python-логику в настоящий машинный код, сохраняя при этом вызовы API CPython. Это делает анализ значительно сложнее, так как традиционные сигнатуры, ищущие характерные последовательности байт-кода Python, оказываются бесполезны.

При запуске EXE-файл распаковывает в временную папку динамическую библиотеку "client_exe.dll", которая и является основной полезной нагрузкой - бэкдором. Эта DLL, также скомпилированная с помощью Nuitka, отвечает за установку зашифрованного канала связи с командным сервером злоумышленников. Аналитики Rising в своём отчёте отмечают, что в памяти DLL были обнаружены строки, указывающие на использование 443 порта и протокола SSL/TLS для шифрования трафика, а также такие характерные фразы, как "Error executing command" и "encrypt_data". К сожалению, на момент анализа C2-серверы уже не функционировали, что не позволило изучить полный функционал бэкдора.

Важным аспектом расследования стало обнаружение второй, связанной пары вредоносных файлов: "STEADFAST_DART_2026_FS.chm" и "STEADFAST_DART_2026_FS.exe". Они использовали в качестве приманки новости о учениях НАТО и были созданы в марте 2026 года, что указывает на продолжающуюся активность злоумышленников в течение как минимум двух месяцев. Техника атаки, за исключением содержимого приманки и адреса C2-сервера, была идентичной. Это с высокой долей вероятности указывает на одного и того же актора или группу.

Использование Nuitka для обхода средств защиты представляет собой тревожный тренд. Данный метод эффективно противодействует классическим антивирусным решениям, полагающимся на сигнатурный анализ. В подобных условиях на первый план выходят системы класса EDR, которые фокусируются на анализе поведения процессов, а не на статических признаках. Они способны отслеживать цепочки событий, такие как запуск CHM-файла, создание дочернего процесса, необычные сетевые подключения на 443 порту и загрузка дополнительных библиотек, что позволяет выявить аномальную активность даже в случае использования неизвестных или зашифрованных полезных нагрузок.

В заключение, данная кампания демонстрирует растущую изощрённость атак, нацеленных на критически важные сектора. Сочетание социальной инженерии, основанной на актуальных геополитических событиях, с продвинутыми техниками обороны, такими как компиляция скриптовых языков в нативный код, создаёт серьёзные вызовы для традиционных моделей безопасности. Происхождение атаки, её сложность и специфика целей позволяют экспертам предположить, что за ней может стоять высококвалифицированная группа, возможно, связанная с государственными интересами. Для эффективного противодействия подобным угрозам организациям, особенно в чувствительных отраслях, необходимо внедрять многоуровневую защиту, комбинирующую осведомлённость пользователей, актуальные угрозные данные и, что наиболее важно, платформы для поведенческого анализа на конечных точках.

IPv4

• 91.132.94.156
• 95.156.205.106

MD5

• 030efc94166a081c29f2adf3726b589e
• 10c28b28236c591c547a4eded3f79b5c
• 41e7616f3ac753b327ae5d519615b512
• 82474098278d73833ee4b393ca04e206
• af0e54883bc8488c4320ab279220e5f2
• bfbd6e0fb02c255106b73b6797792310