Вредоносная кампания "Бесшумный ротор" нацелилась на участников форума "Беспилотная авиация-2026"

Атака начинается с рассылки писем с вредоносными вложениями. Внутри ZIP-архива под названием cai partner.zip находятся четыре файла. Три из них - это обычные документы-приманки (PDF, DOCX, XLSX), которые имитируют деловую переписку с Российским аэронавигационным информационным центром (ЦАИ). А четвёртый файл - исполняемая программа "Подтверждение заказа продукции ЦАИ.exe", написанная на языке Rust. Именно она выполняет все вредоносные действия.

Документы-приманки проработаны до мелочей. PDF-файл, например, выглядит как официальный сертификат перевода с печатями и подписями некой компании из Душанбе. Excel-файл содержит таблицу с заказом навигационных баз данных, сводок NOTAM, электронных сборников AIP и бортовых систем для самолётов Boeing 737. Такая детализация рассчитана на то, чтобы жертва, работающая в авиации, не заподозрила подвоха. Ещё один документ - предварительный просмотр письма с упоминанием лицензий на Aerolotsia PRO, табличных подписок, а также переговоров о долгосрочном контракте на самом форуме. Этот текст подписан вымышленным именем "Олимов Ж.М.". В отчёте SEQRITE Labs подробно описывается, как все эти файлы вместе создают у получателя иллюзию легитимного коммерческого предложения.

Когда жертва запускает exe-файл, программа сразу же отображает на экране один из этих документов - в формате DOCX, якобы подтверждение заказа. Пока пользователь читает текст, вредонос в фоновом режиме начинает собирать данные о системе. Сначала он получает имя компьютера через вызов GetComputerNameExW и серийный номер тома диска C: через GetVolumeInformationW. Затем эти значения объединяются с помощью XOR-операции и преобразуются в десятичную строку - так формируется уникальный идентификатор жертвы.

Далее программа извлекает переменные окружения: имя пользователя (USER), домен (USERDNSDOMAIN), имя компьютера (COMPUTERNAME) и путь к профилю (USERPROFILE). Параллельно с помощью функции GetAdaptersAddresses сканируются сетевые адаптеры, собираются IPv4-адреса, названия адаптеров и DNS-данные. Вся эта информация упаковывается в формат JSON с помощью библиотеки serde_json. Затем данные шифруются простым XOR-алгоритмом и отправляются на сервер управления (C2) по протоколу HTTPS на порт 443. В качестве командного сервера используется домен kleymarket[.]ru (через cdn[.]kleymarket[.]ru).

На этом первый этап не заканчивается. В ответ на запрос с сервера приходит зашифрованная полезная нагрузка (второй этап вредоносного кода). Программа извлекает из ответа два значения, которые служат ключом для AES-256. Расшифрованный таким образом исполняемый файл сохраняется на диск со случайным шестисимвольным именем (буквы и цифры) и расширением .exe. Файлы ложатся либо в папку %USERPROFILE%\Documents, либо в C:\Users\Public\Documents. После записи вредонос запускает полученный файл через API CreateProcessA, передавая полный путь к нему в командной строке. Таким образом, злоумышленники могут выполнить на машине любую дополнительную программу - от удалённого доступа до кражи данных или установки программ-вымогателей.

Инфраструктура кампании оказалась короткоживущей и скрытной. Домен kleymarket[.]ru был зарегистрирован всего за девять дней до момента обнаружения. Пассивные данные DNS показывают, что ранее он использовался по другому назначению, а с апреля 2026 года разрешается в IP-адрес 45[.]142[.]36[.]76. Этот адрес находится в автономной системе AS48347 (MTW-AS), зарегистрированной в России, и географически расположен в Москве. На момент анализа ни один вендор безопасности не помечал домен как вредоносный. Создатели кампании не приписываются какой-либо известной группировке, однако русскоязычный контент приманок и привязка к форуму в Москве указывают на то, что атака нацелена именно на русскоязычных специалистов из России, Таджикистана, Центральной Азии, а также стран Ближнего Востока и Европы, вовлечённых в сферу беспилотных систем.

Каковы последствия этой угрозы? Даже если второй этап не был загружен полностью, сам факт сбора системной информации и передачи её удалённому серверу ставит под удар конфиденциальность данных любой организации, работающей с авиацией, оборонными заказами или коммерческими беспилотниками. Атакующие могут получить детальную картину внутренней сети, учётных записей и доменной структуры, а затем использовать эти сведения для дальнейших проникновений. Кроме того, способность загружать и запускать любую программу на машине жертвы открывает путь к полной компрометации рабочей станции.

Специалистам по защите информации стоит обратить особое внимание на любые входящие письма с вложениями, связанными с авиационной тематикой и форумом "Беспилотная авиация-2026", особенно если отправитель незнаком. Использование языка Rust для написания вредоносного исполняемого файла усложняет его детектирование традиционными антивирусными средствами - многие образцы не распознавались на момент первой загрузки в общедоступные песочницы. Поэтому лучшей защитой остаётся обучение персонала правилам проверки вложений и отказ от запуска программ из непроверенных источников. Также рекомендуется настроить мониторинг обращений к недавно зарегистрированным российским доменам и блокировку исполнения файлов, загруженных из сомнительных ZIP-архивов.

Операция "Бесшумный ротор" - ещё одно напоминание о том, что киберпреступники тщательно изучают отраслевые мероприятия и строят атаки с учётом профессиональных интересов своих жертв. Форум "Беспилотная авиация-2026" может стать не только местом деловых встреч, но и точкой входа для злоумышленников, если участники не проявят должной бдительности.

IPv4

• 45.142.36.76

Domains

• cdn.kleymarket.ru

SHA256

• 2064ef387ac9e51ba72b32004d99e8a0b291dbab24ed8db30f437abf1b40cb49
• 57e26f6e3b311a1064c946b69159ee05abedf9228b2f95c65536429e7ac7fb24
• 89f8e42c825d09a0a50e99bbf7304d7037be33ea362a57d34f87fa7981f80126
• a7bd8869293212e1671df90d2d41b96d4933eb9408b1111bd830e111a91bb202
• fdef9e489f773319f55f92f712d1b7b5447d59a632b8f4173d1b161d3759ad92