Team46 и TaxOff: одна хакерская группировка под разными именами

В марте 2025 года была зафиксирована атака с использованием уязвимости нулевого дня CVE-2025-2783 в браузере Chrome. Изначально инцидент исследовала «Лаборатория Касперского», но последующая цепочка заражения осталась без атрибуции. Эксперты PT ESC установили, что за атакой стояла группировка TaxOff, а также обнаружили связь с Team46.

Ключевые доказательства единства групп включают схожие фишинговые письма, идентичные PowerShell-команды и одинаковые паттерны именования вредоносных файлов. Например, в октябре 2024 года Team46 использовала команду для скачивания скрипта, почти полностью повторяющую команду, примененную TaxOff в марте 2025 года. Обе группы также применяли схожие методы обфускации кода и идентичные User-Agent’ы для маскировки трафика.

Особый интерес представляет загрузчик Trinper, который использовала TaxOff. Его структура и алгоритмы шифрования практически идентичны загрузчику, ранее применявшемуся Team46. Оба загрузчика используют UUID прошивки и ImagePathName для генерации ключей, а также модифицированные версии алгоритмов ChaCha20 и BLAKE2b.

Инфраструктура обеих групп также демонстрирует сходство: домены, имитирующие легитимные сервисы (например, ms-appdata-fonts.global.ssl.fastly.net у Team46 и fast-telemetry-api.global.ssl.fastly.net у TaxOff), построены по единому шаблону.

На основании этих данных эксперты PT ESC пришли к выводу, что Team46 и TaxOff - одна и та же группировка, действующая под разными названиями. Для удобства дальнейшего анализа исследователи предлагают сохранить за ней название Team46.

Эта находка подчеркивает важность глубокого анализа кибератак и демонстрирует, как злоумышленники могут маскироваться, меняя названия и тактики, но оставляя неизменными ключевые элементы своей инфраструктуры и инструментария.

IPv4

• 185.81.114.15

Domains

• 2025primakovreadings.info
• ads-stream-api-v2.global.ssl.fastly.net
• browser-time-stats.global.ssl.fastly.net
• clip-rdp-api.global.ssl.fastly.net
• common-rdp-front.global.ssl.fastly.net
• fast-telemetry-api.global.ssl.fastly.net
• front-static-api.global.ssl.fastly.net
• main-front-api.global.ssl.fastly.net
• mil-by.info
• ms-appdata-fonts.global.ssl.fastly.net
• ms-appdata-main.global.ssl.fastly.net
• ms-appdata-query.global.ssl.fastly.net
• primakovreadings.info
• primakovreadings2025.info
• rdp-api-front.global.ssl.fastly.net
• rdp-query-api.global.ssl.fastly.net
• rdp-statistics-api.global.ssl.fastly.net

MD5

• 07d2b50cf8ffe13a4722955ea94317aa
• 16f6227f760487a70a3168cf9a497ac3
• 1b7b4608f2c9e0a4863a00edd60c3b78
• 4b51f3021d8426b8356cd5751ad6ebd0
• 5f47e40f3a36cc06bbaec27b063cd195
• 7d3a30dbf4fd3edaf4dde35ccb5cf926
• ca767542f4af58fc3072e74574725ee3
• d003e812336221db029f02738451215c
• d69854b4a5c324082e157f04889ba138
• dba17d2faa311f28e68477ea5cc1a300
• f3a70b8073ce2276af75b1cc2f18aced

SHA1

• 197b98d7f368bfd5bd7210b5215a720b8dba83a1
• 20943541522cd3937b275c42016ad3e1e64e3f38
• 3650c1ac97bd5674e1e3bfa9b26008644edacfed
• 39ecc624bd2d52db083424fbb3a47b0c60f5ae4e
• 5dafc8e4ed184653b8cfb1769617b4e2e27168c3
• 643966f0b58b2c1c9d7fead5f9d8b528ea76faaa
• 8a79060165774fc8d6cf099109a043f07476aa7a
• c1795c171d88cbf36e36fe2d3a3feb435e24c29a
• d9fa06025ecd08fc417c9948148e7827280365f2
• f12d9b983d5bcc93d99b8199da84e8c4240caaa5
• ff01b509d72662f1d0541d37fd89165d15ad8262

SHA256

• 185cdfd1eeef2a4063e5134653c53058f91050de8c9234740a7ddd215a2aeaed
• 2997647affa42eff41a27c5db54b126087a36f789c8cfc66d24a21fe7212badc
• 2e39800df1cafbebfa22b437744d80f1b38111b471fa3eb42f2214a5ac7e1f13
• 7975d287b07454b68455dd7e052eb741b5bf81712596ea00ddda2b103a99d037
• 99786a04acc05254dd35b511c4b3af34c88251f926c4ef91c215a9fce6ba8f96
• ab42a3c6ff062147fa7bbf527f7b0b106c1514872bd1a90c8868423fa0485038
• b159534cd3bf2fa350edf18969ea4b07cb3cded49c40d927bac19ff390589504
• d622119cd68ad24f3498c54136242776d69ffe1f6b382a984616a667849c08b2
• f062681125a93a364618da3126c42b6e7c8f27910e954a7b8afd72455ddce328
• f15d8c58d8edb2ec17d35fe9d65062a767067760896eb425fc0de0d4536cc666
• fde9725923e15ca4f790c0ad4766fe7d60e6e3dae75ea8ccf04ff42f2458b4b1