Российская компания F6, специализирующаяся на создании решений для противодействия киберугрозам, выявила новый подход к атакам со стороны группировки PhantomCore, нацеленной на отечественные организации. В апреле 2026 года злоумышленники, выдавая себя за Министерство иностранных дел России, разослали опасные письма под предлогом прибытия делегации из Северной Кореи на предприятие. Преступники применили свежий троян KermitRAT, а также инструменты и технологии, в том числе на базе искусственного интеллекта, которые дают возможность автоматизировать и контролировать атаки. Об этом CNews проинформировали представители F6.
Эксперты отдела киберразведки (Threat Intelligence) компании F6 подготовили отчет о свежей атаке хакерской группы PhantomCore. В рамках этой операции злоумышленники задействовали новую методику распространения вредоносного ПО через фишинговое сообщение, а также обновили свой арсенал инструментов и технологий для повышения результативности атаки.
PhantomCore представляет собой одну из наиболее серьезных угроз для компаний из России и Беларуси. Впервые специалисты F6 зафиксировали эту группу в 2024 году, а позже установили, что ее самые ранние атаки относятся к 2022 году. Ключевые особенности PhantomCore включают применение вредоносного ПО собственного производства и нестандартные методы доставки этого ПО в целевые организации.
8 апреля 2026 года система защиты корпоративной электронной почты F6 Business Email Protection перехватила и остановила фишинговую кампанию, адресованную нескольким сотрудникам российской промышленной фирмы.
Письмо было отправлено с домена ministerstvo-inostrannykh-del[.]ru, зарегистрированного 30 марта 2026 года, и замаскировано под уведомление о рабочем визите делегации Корейской Народно-Демократической Республики. В тексте сообщается, что визит организован «с целью ознакомления с действующими производственными технологиями», «обмена опытом» и «развития двустороннего сотрудничества». К письму прикреплены файл-приманка в формате PDF и zip-архив KNDR (1), для открытия которого требуется пароль, приведенный в тексте сообщения.
Файл-приманка выдается за поддельное сопроводительное письмо, которое информирует об утверждении МИД России 18 февраля 2026 года методического документа «О порядке организации и проведения визита делегации КНДР на отечественное предприятие». Второй файл, используемый злоумышленниками для отвлечения внимания пользователя при открытии опасного архива, маскируется под письмо руководителю предприятия. В нем говорится, что в рамках визита запланированы «проведение рабочих встреч со специалистами предприятия» и «демонстрация ключевых этапов производственного цикла».
При запуске этих файлов компьютер пользователя заражается трояном удаленного доступа, который позволяет хакерам собирать данные о зараженной системе, похищать файлы и выполнять разнообразные команды. Специалисты F6 обнаружили это ВПО в апреле 2026 года и дали ему название KermitRAT.
В процессе анализа сетевой инфраструктуры хакеров эксперты F6 обнаружили признаки применения коммуникационной платформы Mattermost, а также ИИ-системы для автоматизированного тестирования CyberstrikeAI.
«Мы регулярно наблюдаем не только свежие атаки группировки PhantomCore, но и новые вредоносные программы, которые она использует. Одной из таких программ является KermitRAT — троян удаленного доступа, созданный этой группировкой. Его возможности включают сбор исчерпывающих данных о системе, запись действий жертвы и последующее управление устройством через выполнение команд. Кроме того, злоумышленники следуют цифровым трендам и, помимо ранее обнаруженных в их арсенале MeshAgent и Sliver, начали применять платформу CyberStrike AI, которая позволяет автоматизировать проведение и контроль атак с помощью выполнения команд», — отметила Елена Шамшина, руководитель департамента Threat Intelligence компании F6.
