«Лаборатория Касперского» проанализировала недавнюю кампанию группы Stan Ghouls. В конце 2025 года злоумышленники атаковали финансовые учреждения, промышленные предприятия и ИТ-компании в странах СНГ, в том числе в России. Они использовали прежний набор инструментов, но при этом обновили инфраструктуру — в частности, создали новые вредоносные домены. Кроме того, группа могла добавить в свой арсенал вредоносное ПО для атак на системы интернета вещей (IoT).
Stan Ghouls проводит целевые кампании в России, Казахстане, Кыргызстане и Узбекистане как минимум с 2023 года. В основном злоумышленников интересуют финансовые организации, а также компании из сферы промышленности и ИТ. Среди отличительных черт группы — использование уникальных вредоносных загрузчиков на Java. При этом у Stan Ghouls масштабная инфраструктура, которую она периодически модифицирует, в том числе регистрирует домены для новых кампаний. Вероятно, злоумышленники преследуют финансовые цели, но не исключены атаки с целью кибершпионажа.
Группа начинает атаки с фишинговых рассылок, внутри которых содержатся вредоносные PDF-вложения. Письма тщательно адаптируются под жертв, и обычно злоумышленники используют локальные языки. Например, они могут быть замаскированы якобы под предупреждение от прокуратуры или постановление районного суда. В документах-приманках содержатся ссылки — если по ним перейти, запустится вредоносный загрузчик. Атакующие отдельно просят жертву скачать и установить среду выполнения Java, поскольку без этого якобы нельзя будет просмотреть файлы.
Вредоносный загрузчик в свою очередь скачивает легитимное ПО NetSupport, который атакующие используют для управления заражённым устройством. Ранее основным инструментом злоумышленников был коммерческий троянец удалённого доступа (RAT) STRRAT, также известный как Strigoi Master.
«Всего злоумышленники атаковали более 60 целей, что довольно много для одной таргетированной кампании. Это говорит о том, что у них достаточно ресурсов, чтобы обеспечить ручное удалённое управление несколькими десятками заражённых устройств. Примечательно, что группа продолжает использовать прежний набор инструментов, включая легитимную утилиту удалённого управления NetSupport и уникальный вредоносный загрузчик на Java. Таким образом, атакующие обновляют только инфраструктуру, в частности используют новые домены. На одном из доменов, фигурировавших в прошлых кампаниях группы, были обнаружены файлы, относящиеся к известному IoT-зловреду Mirai. Это может указывать на то, что злоумышленники начали использовать вредоносное ПО для IoT-систем. Мы продолжаем отслеживать активность группировки Stan Ghouls и информировать наших клиентов о новых кампаниях злоумышленников», — комментирует Алексей Шульмин, эксперт по кибербезопасности в «Лаборатории Касперского».
22 апреля 2026 года в Москве пройдет четвертая межотраслевая конференция для руководителей ИБ-служб.
Компания Google выпустила экстренное обновление браузера Google Chrome, устраняющее две уязвимости нулевого дня, которые уже активно эксплуатировались злоумышленниками.
Исследователи безопасности обнаружили новую технику атаки на ИИ-агентов, позволяющую похищать данные с помощью так называемой косвенной prompt-инъекции.
Эксперты по кибербезопасности из IBM сообщили о появлении новой группы вымогателей Slopoly, которая активно применяет инструменты искусственного интеллекта для подготовки и проведения атак.
В даркнете появилась база данных и исходный код, предположительно относящиеся к инфраструктуре шведской платформы электронного правительства.
В России появились признаки начала блокировки мессенджера Telegram: пользователи по всей стране сообщают о масштабных сбоях в работе сервиса, а эксперты связывают происходящее с возможным введением ограничительных мер со стороны регуляторов.
Компания Telus Digital подтвердила инцидент безопасности после того, как хакер заявил о масштабной краже данных.
Социальная сеть Instagram* начала внедрение сквозного шифрования в личных сообщениях, новая функция должна повысить уровень конфиденциальности переписки и защитить сообщения пользователей от доступа третьих лиц.
Специалисты по кибербезопасности заявили о взломе внутренней ИИ-платформы консалтинговой компании McKinsey & Company.
UserGate, российский разработчик решений в области информационной безопасности, запустил проект «Совместная техническая поддержка» — новую модель сервисного сопровождения клиентов совместно с сертифицированными партнерами.
