PhantomCore возвращается: эксперты раскрыли новые атаки

Специалисты департамента киберразведки компании F6 представили результаты нового исследования, посвященного кибергруппировке PhantomCore. Эксперты проанализировали как недавние атаки мая 2025 года, так и ранее неизвестную активность, датируемую 2022 годом.

PhantomCore ориентирована на российские и белорусские компании и использует вредоносное ПО собственной разработки. По данным F6, в 2022 году группа применяла дроппер VALIDATOR.msi с трояном StatRAT, замаскированным под легитимное ПО для сетевых проверок. Вредонос имел возможности удаленного доступа, кражи данных и вайпа файлов.

Если на старте PhantomCore сосредотачивалась на краже и уничтожении данных, то к 2024 году ее приоритетом стало шифрование инфраструктур и вымогательство. Группа активно адаптирует инструменты, меняет языки программирования и следит за новыми уязвимостями.

5 мая 2025 года решение F6 Business Email Protection зафиксировало новую волну вредоносных рассылок от PhantomCore. Письма с темой «Документы на рассмотрение (повторно)» содержали ZIP-архивы с исполняемыми файлами и фальшивыми договорами. Целями атак стали организации в сферах энергетики, промышленности и ЖКХ. Эксперты классифицировали вредонос как новую версию бэкдора — PhantomeCore.GreqBackdoor v.2.

Исследование F6 подтверждает: PhantomCore не только активна, но и эволюционирует, переходя от разрушительных атак к спланированному вымогательству.