Кардеры XE Group стали кибершпионами и начали работать на спецслужбы

Хакерская группировка XE Group, ранее известная своими мошенничествами с кредитными картами, теперь переориентировалась на более высокотехнологичные кибератаки, связанные с целевым шпионажем и эксплуатацией уязвимостей нулевого дня. Специалисты по информационной безопасности обнаружили, что группа активно использует комбинацию уязвимостей, таких как CVE-2024-57968 и CVE-2025-25181, для установки вредоносных инструментов и обеспечения длительного доступа к скомпрометированным системам.

XE Group успешно использует уязвимости в таких программах, как ASP.NET AJAX и Advantite VeraCore, чтобы внедрить веб-шеллы, дающие хакерам возможность управлять системами издалека. Особенно тревожным является факт, что одна из этих уязвимостей (CVE-2025-25181) остается без патча до сих пор. Используя эти лазейки, злоумышленники могут запускать SQL-инъекции, получая полный доступ к данным и операциям на зараженных серверах.

Примечательно, что XE Group успешно эксплуатировала эти уязвимости на протяжении нескольких лет, оставаясь незамеченной до ноября 2024 года. Это указывает на их способность вести долгосрочные операции, скрывая свою активность и обеспечивая стабильный доступ к системам с помощью инструментов, таких как Meterpreter, что позволяет им выполнять команды, сканировать локальную сеть и модифицировать данные.

Специалисты предполагают, что переход XE Group от простых киберпреступлений к более сложному кибершпионажу может означать, что группа теперь может работать в интересах спецслужб. Это поднимает вопрос о расширении роли частных хакерских группировок в глобальной кибервойне, где любой опытный киберпреступник может стать важным элементом в сети глобальной разведки и шпионажа.