PhantomCore: хакеры, которые научились прятаться в сетях российских компаний на месяцы
Компания Positive Technologies заявила о широкомасштабной шпионской деятельности группы PhantomCore, нацеленной исключительно на российские организации с весны 2025 года. Эксперты выявили свыше 180 заражённых систем за три месяца, при этом в некоторых случаях злоумышленники сохраняли доступ к корпоративным сетям до 78 дней.
В числе пострадавших оказались ключевые отрасли: государственные учреждения, научно-исследовательские институты, оборонные предприятия, судостроение и химическая промышленность. Исследователи подчеркивают, что выбор целей указывает на то, что PhantomCore является одной из наиболее “географически ориентированных” APT-групп, поскольку её деятельность практически не выходит за пределы России, сосредотачиваясь на сборе конфиденциальной информации внутри страны.
Отличительной особенностью PhantomCore является её гибридный арсенал, объединяющий общедоступные утилиты с открытым исходным кодом и собственные, редко используемые инструменты. Эта комбинация затрудняет обнаружение и позволяет атакам оставаться скрытыми на протяжении нескольких недель. Инфраструктура PhantomCore разделена на сегменты: отдельные серверы отвечают за кражу данных, внедрение бэкдоров или связь с зараженными устройствами.
Интересна и географическая составляющая: около половины управляющих серверов расположены в России, что значительно уменьшает риск блокировок при передаче данных. Оставшаяся часть инфраструктуры размещена в десятке стран, включая Финляндию, Францию и США. При этом треть мощностей использует одного канадского провайдера, что является редким явлением для APT-групп.
Согласно данным специалистов PT, активность PhantomCore возросла после обновления вредоносного инструментария в апреле. Кроме того, обнаружено “отделение” – группа исполнителей с низкой квалификацией, вероятно, организованная одним из участников PhantomCore для расширения масштаба кампаний. Это подтверждает систематический характер атак, которые превращаются в полноценный кибершпионский процесс.
About The Author
