В Palo Alto Networks хотят и рыбку съесть, и не лишиться прочего. Чудеса эквилибристики проявлены в ходе недавнего исследования, в котором ресерчеры изучали новую APT-группу под названием TGR-STA-1030, которой приписали «теневые кампании» кибершпионажа.

Как сообщается в отчете, за последний год эта группа скомпрометировала правительственные организации и объекты критической инфраструктуры в 37 странах, а в период с ноября по декабрь 2025 группа проводила разведку правительственной инфраструктуры в 155 странах.

В данной работе Palo Alto описывает техническую изощренность участников, включая методы фишинга и эксплуатации уязвимостей, используемые инструменты и инфраструктуру группы, а также приводит обширный состав IOCs, включая активную инфраструктуру.

Реализован также углубленный анализ виктимологии по регионам с целью демонстрации предполагаемых мотивов APT. Результаты показывают, что хакеры отдают приоритет атакам на страны, которые установили или изучают определенные экономические партнерства.

Кроме того, Palo Alto предварительно поделилась результатами с коллегами по отрасли, дабы обеспечить надежную межотраслевую защиту от этого злоумышленника.

Но коллег смутило нечто другое: руководство Palo Alto всячески избегает приписывания APT-атаки китайскому актору, даже несмотря на атрибуцию собственных и сторонних отраслевых экспертов.

Такое поведение не осталось незамеченным и представителями СМИ. В частности, источники Reuters, заявляют, что компания пошла на такие казуистические уловки, опасаясь ответных мер со стороны китайского правительства.

Поэтому в отчете ограничилась приписываем «теневой» кампании неназванной APT, действующей из Азии.

Дело в том, что в начале этого года Пекин потребовал от китайских компаний прекратить использование решений по инфобезу десятка западных вендоров.

Palo Alto Networks оказалось в их числе, попав в т.н. черный список, переданный руководству китайских компаний, наряду с CrowdStrike, SentinelOne, Mandiant, Wiz и др.

В ответ на просьбу прокомментировать якобы смягченную формулировку в недавнем отчете, Palo Alto сослались на то, что «указание источника не имеет значения».

Впрочем, как и про активность западных APT, которая также «не имеет значения», чтобы вообще ее указывать.

Попутно упражняясь с конкурентами, IoT-ботнет Kimwolf случайно атаковал The Invisible Internet Project (I2P), перегрузив анонимную сеть и фактически лишив пользователей возможности взаимодействовать с легитимными узлами.

Сбои начали фиксироваться две недели назад, 3 февраля, и препятствуют подключению легитимных пользователей к ресурсам I2P, децентрализованной сети зашифрованной связи, предназначенной для анонимизации и защиты онлайн-коммуникаций.

Как оказалось, все дело в том, что Kimwolf начал использовать I2P для размещения некоторых своих серверов С2 и обхода попыток блокировки.

Что по итогу переполнило анонимную сеть соединениями от миллионов взломанных маршрутизаторов и телевизионных приставок.

В тот же день, когда пользователи I2P начали замечать сбои, операторы Kimwolf опубликовали у себя в Discord сообщение с извинениями, отметив, что они случайно нарушили работу I2P, попытавшись подключить 700 000 зараженных ботов в качестве узлов к сети.

При том, что вся сеть I2P в настоящее время ежедневно насчитывает от 15 000 до 20 000 устройств, распределенных по всему миру, причем каждый участник выступает одновременно и в роли маршрутизатора (для ретрансляции трафика), и в роли клиента.

В свою очередь, основатель Бенджамин Брундейдж - основатель Synthient, стартапа, отслеживающего прокси-сервисы, первым задокументировал уникальные методы распространения Kimwolf.

Он отметил, что операторы ботнета экспериментируют с I2P и аналогичной сетью анонимности - Tor, в качестве резервной сети С2 (при этом в последнее время сообщений о масштабных сбоях в Tor не поступало).

По его наблюдениям, операторы «просто тестируют что-то, проводят эксперименты в реальных условиях, но численность ботнета сейчас значительно снижается, и, похоже, они не понимают, что делают».

Но мы бы не спешили с выводами, будем посмотреть.

Исследователи ESET обнаружили ранее неизвестный штамм вредоносного ПО для Android - PromptSpy, использующее генеративный ИИ в процессе выполнения, применяя модель Gemini от Google для адаптации к обеспечению своей устойчивости на разных устройствах.

Первая версия, названная VNCSpy, засветилась на VirusTotal 13 января и была представлена тремя образцами, загруженными из Гонконга. 10 февраля 2026 года из Аргентины были загружены четыре образца более продвинутого вредоносного ПО на основе VNCSpy.

В отличие от ранее изученных вредоносных ПО для Android с моделями машинного обучения PromptSpy представляет собой первый известный случай, когда вредоносная ПО интегрирует генеративный ИИ непосредственно в свою работу.

На некоторых устройствах Android пользователи могут «заблокировать» или «закрепить» приложение в списке последних приложений, удерживая его нажатым и выбрав опцию блокировки.

При такой блокировке Android завершит его работу во время очистки памяти или при нажатии пользователем кнопки «очистить все».

Для легитимных приложений это предотвращает завершение фоновых процессов. Для вредоносных ПО типа PromptSpy это может послужить механизмом обеспечения постоянного присутствия в системе.

Однако способ блокировки или закрепления приложения различается у разных производителей, что затрудняет создание вредоносным ПО правильного алгоритма для выполнения этой операции на каждом устройстве. Вот и вступает в игру ИИ.

PromptSpy отправляет Gemini запрос в чат вместе с XML-дампом текущего экрана, включая видимые элементы пользовательского интерфейса, текстовые метки, типы классов и координаты экрана.

В ответ получает инструкции в формате JSON, описывающие действия, которые необходимо выполнить на устройстве для закрепления приложения.

Вредоносная ПО выполняет действие через службу спецвозможностей Android, получает обновленное состояние экрана и отправляет его обратно в Gemini в цикле до тех пор, пока ИИ не подтвердит, что приложение успешно заблокировано в списке последних приложений.

Несмотря на то, что PromptSpy использует Gemini только в одной из своих функций, подобная реализация тем не менее демонстрирует, как внедрение этих инструментов ИИ может сделать вредоносное ПО более динамичным, предоставляя злоумышленникам способы автоматизировать действия, которые обычно было бы сложнее выполнить с помощью традиционных скриптов.

Хотя использование LLM на основе ИИ для внесения изменений в поведение во время выполнения является новаторским подходом.

Основной функционали PromptSpy - кибершпионаж. Вредоносная ПО включает в себя встроенный модуль VNC, который позволяет злоумышленникам получить полный удаленный доступ к устройствам с правами доступа, предоставленными для лиц с ограниченными возможностями.

Используя его, злоумышленники могут просматривать и контролировать экран Android в режиме реального времени.

Кроме того, вредоносная ПО может: снимать список установленных приложений, перехватывать PIN и пароли блокировки экрана, вести запись экрана, делать скрины, фиксировать действия на экране, мониторить текущее состояние приложения и экрана.

При этом при попытке пользователей удалить приложение или отключить специальные разрешения вредоносная ПО накладывает прозрачные, невидимые прямоугольники на кнопки пользовательского интерфейса, отображающие строки типа «стоп», «завершить», «очистить» и «удалить».

ESET пока не обнаружила PromptSpy или его загрузчик в своих телеметрических данных, поэтому неясно, является ли это вредоносное ПО экспериментальной версией.

Однако, как показывает VirusTotal, несколько образцов ранее распространялись через выделенный домен mgardownload[.]com и использовали веб-страницу на m-mgarg[.]com для имитации банка JPMorgan Chase, поэтому вполне могли быть использованы в реальных атаках.

Исследователи из Лаборатории Касперского продолжают отслеживать Librarian Likho (Librarian Ghouls), активность которой нацеленную на российские организации выявили еще в ноябре 2025 года.

Новая продолжающаяся кампания на основании собранных данных, артефактов, инструментария и сетевой инфраструктуры, была также атрибутирована Librarian Likho.

В рамках новой волны атакам подвергся широкий круг российских организаций из различных отраслей экономики, в том числе из госсектора, строительства и промышленности.

Как и ранее, атаки начинаются с фишинга, однако в этот раз злоумышленники отправили свыше тысячи писем, вредоносные вложения в которых практически не отличались по функциональности и контексту, что указывает на автоматизацию атаки.

Инструментарий также по большей части остался прежним, но в новой волне атак злоумышленники переписали команды в скриптах: ранее URL командного сервера жестко прописывали в коде, а теперь он динамически меняется при помощи набора переменных.

Кроме того, Librarian Likho убрали функции кражи данных и обновили механизмы обхода средств защиты информации.

В новой кампании жертва получает на почту фишинговое письмо с вредоносным исполняемым файлом в качестве вложения, который маскируется под предложение о сотрудничестве или заполненный бланк договора. При этом никак не маскируют их расширения.

Вложение представляет собой инсталлятор, созданный при помощи Smart Install Maker. После запуска он выгружает в директорию Users\[REDACTED]\AppData\Local\Temp\$inst два архива формата .cab, замаскированные под временные файлы: 2.tmp и temp_0.tmp.

После этого архивы по очереди распаковываются в одну и ту же директорию, а для отвлечения внимания жертвы, запускается файл-приманка с типовой структурой офисного документа.

Затем вредоносное вложение запускает find.cmd. Скрипт аналогичен предыдущей кампании, однако в нем появился парсинг адресов C2 из файла url.txt: в ходе работы он создает виртуальное окружение, а также переменные под конкретные адреса, с которых скачиваются полезные нагрузки.

Также в скрипте изменился путь, по которому он сохраняет скачанные с C2 исполняемые файлы. В новой версии - это %APPDATA%\Windows. При этом на C2 инструменты, как и ранее, имеют расширение .jpg. После их инициализации новая версия find.cmd удаляет все файлы.

Скрипт загружает с C2 bk.rar и pas.rar, а также кастомную версию WinRAR с названием файла driver.exe. Затем с помощью архиватора распаковывает скачанные файлы, используя вшитый пароль, и сохраняет их содержимое в директорию Users\[REDACTED]\AppData\Roaming\Windows.

Первым делом find.cmd запускает Trays.exe с опцией -tray для сокрытия окон приложений, которые будут выполнены далее. Далее скрипт принимает меры по обходу средств защиты: останавливает сервисы, связанные с Microsoft Defender, и отключает профили файервола.

После этого он устанавливает на устройство инструмент удаленного доступа AnyDesk, который затем запускает как системный сервис.

После того как скрипт find.cmd отработал, вложение запускает файл any.bat, также в формате скрипта, для создания точки закрепления через AnyDesk. Он также устанавливает кастомный пароль для доступа к нему. Последним вложение запускает скрипт bat.bat

Основная цель этого скрипта - предоставить оператору данные для подключения, а также подготовить узел к дальнейшей постэксплуатации.

В целом, Librarian Likho продолжает атаковать российские компании, оставив неизменными цели кампании и ключевые характеристики своих атак, но частично переписав содержимое вредоносных скриптов. Однако в отличие от прошлых атак, новая активность имеет массовый характер.

Технические подробности и IOCs - в отчете.

Исследователи Group-IB расчехлили новую фишинговую схему GTFire, позволяющую злоумышленникам избегать обнаружения с помощью сервисов Google.

Как отмечают в Group-IB, за последние несколько лет фишинговые кампании эволюционировали от простых поддельных электронных писем и незамысловатых страниц авторизации.

Современные злоумышленники все чаще используют легитимные облачные сервисы, доверенные домены и известные технологические платформы для маскировки вредоносной активности под обычный интернет-трафик.

Одна из таких кампаний, GTFire, демонстрирует, как злоумышленники могут систематически злоупотреблять легитимной инфраструктурой для размещения фишинговых страниц (Google Firebase) и маскировки вредоносных URL-адресов и обхода фильтров безопасности (Google Translate).

Объединяя эти сервисы, злоумышленники создают фишинговые ссылки, которые выглядят безобидными, используют репутацию Google и динамически перенаправляют жертв на страницы входа, имитирующие страницы брендов.

Причем GTFire примечательна не только своей технической изощренностью, но и масштабом.

Выявлено, что более 120 уникальных фишинговых доменов и более 1000 организаций пострадали от этой атаки.

Наблюдаемое использование других легитимных сервисов и инструментов, таких как веб-сервер LiteSpeed и скрипты All-in-1 PHP, дополнительно повышает масштабируемость и скорость развертывания этой фишинговой кампании.

Анализ инфраструктуры C2 позволил Грибам выявить тысячи украденных учетных данных, связанных с более чем тысячей организаций из более чем 200 отраслей, расположенных в более чем ста странах.

Злоумышленники продемонстрировали высокую оперативную дисциплину: повторное использование фишинговых шаблонов для разных брендов, многоступенчатый сбор учетных данных и централизованные серверы, которые упорядоченно хранят собранные данные.

Кроме того, перенаправление с поддельных страниц авторизации обратно на легитимные сайты брендов часто не позволяло жертвам вообще понять, что их учетные данные уже украдены.

С точки зрения защиты, GTFire открыла ряд неприятных моментов:

- доверенные сервисы могут быть задействованы с минимальными усилиями,
- традиционное обнаружение на основе URL неэффективно,
- злоупотребление брендом остается - наиболее эффективным способов социнженерии.

Технические подробности реализации GTFire и рекомендации - в отчете.