Специалисты «Лаборатории Касперского» изучили свежую серию кибернападений от группировки Silver Fox, выявленную в январе 2026 года. Её мишенями стали российские предприятия, в особенности работающие в промышленности, консалтинге, торговле и транспортной отрасли. Целям рассылались фишинговые электронные письма, имитирующие официальные сообщения от налоговых органов. За период с начала января до старта февраля было отмечено свыше 1600 таких сообщений. Злоумышленники модернизировали свой арсенал: задействовали новые, ранее не встречавшиеся загрузчики, а также бэкдор на Python, получивший от аналитиков имя ABCDoor. В случае успешного проникновения злоумышленники получали возможность удалённого контроля над системами и хищения конфиденциальной корпоративной информации.
До этого Silver Fox проводила атаки на азиатские компании в секторах телекоммуникаций, энергетики, логистики и финансов. К концу 2025 года деятельность группировки впервые была направлена на российский бизнес.
Знакомая уловка — обновлённая тактика. Жертвам приходит сообщение, выдаваемое за уведомление от налоговой службы, в котором утверждается о выявлении серьёзных «несоответствий». Похожий сценарий уже использовался в декабре 2025 года, однако в январе схема была доработана. К примеру, вместо прямого вложения вредоносного архива, злоумышленники стали добавлять к письму PDF-документ, содержащий внутри ссылки для его загрузки. Этот приём применяется для попытки обхода почтовых систем защиты и последующего заражения компьютера.
Новый бэкдор ABCDoor. В ходе январской кампании преступники расширили набор инструментов: через уже известный бэкдор ValleyRAT, использовавшийся в прошлых атаках, они внедряли ABCDoor — новый бэкдор, созданный на языке программирования Python. Он предоставляет возможности удалённого администрирования системы, записи нажатий клавиш, загрузки и выгрузки файлов, одновременной трансляции нескольких экранов жертвы почти в реальном времени, доступа к буферу обмена, а также самообновления. Кроме того, для доставки ValleyRAT применялась изменённая, ранее неизвестная версия RustSL: впервые её использовали в конце декабря 2025 года.
«В этой кампании социальная инженерия сыграла решающую роль — группировка эксплуатировала естественное доверие людей к официальным сообщениям, например, от налоговых органов. При этом Silver Fox использовала многоэтапный подход для доставки основной вредоносной нагрузки, а также разнообразные адреса и домены. Это увеличивает опасность подобных угроз, поскольку такой метод помогает злоумышленникам снизить риск обнаружения и блокировки всей цепочки атаки», — отметил Антон Каргин, эксперт Kaspersky GReAT (глобального центра исследований и анализа угроз «Лаборатории Касперского»).
Продукты «Лаборатории Касперского» обеспечивают защиту от данной угрозы и детектируют вредоносное ПО под именами: Trojan-Spy.Win64.Pycl.a, Trojan-Downloader.Script.Generic, Trojan.Win32.RSL, Trojan.Win32.Agentb, Trojan.Win32.Injuke, Backdoor.Win32.Xkcp, Trojan-Downloader.Win32.Agent.
Чтобы противостоять таким угрозам, «Лаборатория Касперского» советует предпринять следующие шаги: постоянно обучать персонал, повышая его цифровую компетентность. Этому могут способствовать специальные образовательные программы, такие как Kaspersky Automated Security Awareness Platform; внедрять инструменты, автоматически отсеивающие сомнительные сообщения, анализирующие защищённые архивы и применяющие технологию CDR, как это делает Kaspersky Security для почтовых серверов в модификации KSMS Plus; обеспечивать специалистам по информационной безопасности доступ к актуальным сведениям о киберугрозах, например, через платформу Threat Intelligence, для осведомлённости о современных методах и инструментах злоумышленников; применять комплексные продукты, позволяющие создать адаптивную систему защиты. Это включает надёжную безопасность рабочих мест, сбор и изучение данных о происшествиях со всех узлов инфраструктуры, обнаружение и пресечение атак любой сложности на начальных этапах, а также обучение сотрудников основам цифровой гигиены. Готовые наборы подобных решений, которые можно адаптировать под задачи компаний любого размера, представлены в линейке продуктов для бизнеса Kaspersky Symphony.
