Компания F6, российский создатель решений для борьбы с киберугрозами, выявила новую стратегию атак группы PhantomCore на предприятия в России. В апреле 2026 года злоумышленники, выдавая себя за сотрудников МИД России, разослали вредоносные электронные письма под предлогом уведомления о визите делегации из КНДР, использовав новый троян KermitRAT и решения на основе ИИ для автоматизации атак.
Аналитики отдела киберразведки F6 представили IT Speaker исследование атаки, в которой PhantomCore применяла новые методы распространения вредоносного ПО через фишинговые письма и современные технологические инструменты.
Группа PhantomCore считается одной из основных киберугроз для бизнеса в России и Беларуси. Специалисты F6 впервые обнаружили ее в 2024 году, а позже установили, что самые ранние атаки были проведены еще в 2022 году. Характерные черты PhantomCore включают собственные вредоносные программы и нестандартные методы их доставки в целевые организации.
8 апреля 2026 года система F6 Business Email Protection успешно перехватила и заблокировала фишинговую рассылку, направленную к нескольким сотрудникам российской промышленной компании.
Электронное письмо пришло с домена ministerstvo-inostrannykh-del[.]ru, созданного 30 марта 2026 года, и представляло собой уведомление о рабочем визите делегации КНДР. В тексте упоминалось о визите с целью ознакомления с производственными технологиями, обмена опытом и расширения сотрудничества. К сообщению были прикреплены PDF-файл-приманка и zip-архив, для открытия которого требовался пароль, указанный в письме.
Файл-приманка имитировал сопроводительное письмо об утверждении МИД России методического документа о подготовке визита делегации КНДР на предприятие. Другой файл, отвлекающий внимание пользователя, скрывался под письмом для руководителя предприятия о проведении рабочих встреч и демонстрации производственного процесса.
При открытии этих файлов происходило заражение компьютера трояном удаленного доступа, который позволял собирать данные о системе, похищать файлы и выполнять команды. Специалисты F6 выявили это вредоносное ПО в апреле 2026 года и назвали его KermitRAT.
В ходе анализа инфраструктуры злоумышленников эксперты F6 обнаружили следы использования платформы Mattermost для связи, а также платформы ИИ CyberStrikeAI для автоматизированного тестирования атак.
«Мы продолжаем фиксировать не только новые атаки группы PhantomCore, но и новое вредоносное ПО, которое она внедряет. Одно из таких ВПО – KermitRAT, троян удаленного доступа, разработанный данной группировкой. Его функциональные возможности включают сбор полной информации о системе, мониторинг действий жертвы и дальнейший контроль устройства через выполнение команд. Кроме того, атакующие следуют цифровым трендам и, помимо ранее известных в арсенале MeshAgent и Sliver, внедрили платформу CyberStrike AI, которая позволяет автоматически проводить и контролировать атаки через выполнение команд», – отметила руководитель отдела Threat Intelligence компании F6 Елена Шамшина.
Ранее компания F6 исследовала Android-троян LunaSpy, который доставлялся жертве уже предустановленным на смартфоне. Специалисты отдела противодействия финансовому мошенничеству F6 зарегистрировали в феврале-марте около 300 целевых атак с использованием LunaSpy на клиентов российских банков.
Эксперты назвали главные каналы утечек в малом бизнесе
