Повелись на «судебное письмо»? Поздравляем — Room155 уже переписали судьбу вашего бизнеса

Группировка room155, также известная под псевдонимами DarkGaboon и Vengeful Wolf, за последние три года превратилась в одну из наиболее устойчивых и технично организованных киберугроз, ориентированных на компании из России и сопредельных стран. Исследования экспертов Positive Technologies, F6 Threat Intelligence и данные системы F6 MXDR позволили восстановить полную картину эволюции этой банды, включая инструменты, инфраструктуру и тактики.

Ранее считалось, что активная фаза деятельности room155 началась в 2023 году, однако собранные артефакты указывают на то, что первые кампании стартовали ещё в декабре 2022-го. В частности, именно тогда на VirusTotal начали массово загружаться архивы с вредоносным содержимым, замаскированные под судебные документы. Примеры: архив с файлами "Постановление суда от 05.12.22", содержащий стилер Stealerium, и документ-приманка "Образец жалобы в арбитражный суд.doc".

Классическим сценарием остаётся фишинговая рассылка , имитирующая письма от ФССП, налоговой службы, бухгалтерии или деловых партнёров. Вложения — архивы с вредоносным ПО (Revenge RAT, XWorm, Stealerium, AveMaria RAT, VenomRAT, DarkTrack) и документы-приманки (акты сверок, договоры, уведомления о задолженности).

Группировка активно использует визуальные подмены — омоглифы. Это символы из разных языков, которые визуально похожи на стандартные буквы, но обходят фильтрацию и системы обнаружения. В частности, заменяются символы в темах писем и названиях вложений. Пример: вместо "Акт сверки" используется "Aкт cвepки".

Дополнительно злоумышленники применяют поддельные сертификаты X.509, чтобы вредоносные исполняемые файлы выглядели легитимными и проходили стандартные проверки безопасности.

Цепочка заражения room155 нередко начинается с мегадроппера — специально подготовленного исполняемого файла, который разворачивает сразу несколько компонентов. Так, мегадроппер, обнаруженный экспертами F6, содержит четыре вредоносных модуля: Stealerium, DarkTrack, CryptoClipper и Revenge RAT. Для защиты кода используются протекторы Themida и .NET Reactor, что существенно усложняет анализ.

Устойчивость закрепления достигается за счёт изменения реестра Windows (раздел Run), копирования себя во временные каталоги с маскировкой под системные файлы, применения двойных расширений (.pdf.exe, .xlsx.scr) и подмены иконок, имитирующих документы Office или PDF.

С конца 2022 года группировка последовательно развивала инфраструктуру. Сначала домены C2-серверов выглядели как mydnsftp.myftp.biz и tgt55w.ddns.net. Эти ресурсы активно использовались для управления Stealerium, DarkTrack и Revenge RAT.

С 2023 года в арсенале появились домены rampage.myvnc.com, к концу 2024-го — серия динамических DNS-адресов с префиксом kilimanjaro: kilimanjaro.run.place, kilimanjaro.theworkpc.com, burkinafaso.duckdns.org и другие. В марте 2025 года были зафиксированы новые домены myhost.servepics.com и myhost.misecure.com.

Исследования показали, что эти домены объединяются в кластеры, связанные по IP-адресам. Например, tgt55w.ddns.net, mydnsftp.myftp.biz и host777.sytes.net периодически резолвились на одни и те же адреса, что позволяет точно отслеживать инфраструктурные связи.

Фальшивые сайты room155 — ещё один важный элемент схемы. Группировка зарегистрировала десятки доменов, часть которых объединена общим SSL-сертификатом. На этих сайтах размещаются копии страниц бухгалтерии или деловой переписки с формами авторизации, выполненными на базе CMS Joomla. Их внешний вид и структура регулярно меняются.

Среди дополнительных техник — доставка вредоносных архивов через облачные хранилища, например Mail.ru, что значительно усложняет их фильтрацию стандартными средствами.

В некоторых кампаниях room155 применяет Pastebin-ссылки для динамического получения адресов управляющих серверов. Такой подход зафиксирован, например, для образцов VenomRAT.

Финальный этап атаки — шифрование данных на устройствах жертв с помощью LockBit 3.0 Black . Этот вымогатель способен самостоятельно распространяться через локальную сеть, как червь, что многократно увеличивает охват атаки. Его билд активно используется room155 с 2023 года.

Кроме шифрования, зафиксированы случаи применения CryptoClipper (подмена адресов криптовалютных кошельков) и легитимного ПО AnyDesk для полного удалённого контроля над заражёнными машинами.

Статистика F6 Threat Intelligence показывает, что более половины атак room155 нацелены на финансовые организации. Среди жертв также — предприятия транспорта, промышленности, логистики, медицины, IT и строительства.

Анализ телеметрии F6 MXDR подтверждает: room155 демонстрирует высокую живучесть, оперативно реагирует на блокировки, меняет домены и IP-адреса, совершенствует вредоносное ПО, что требует повышенного внимания к защите.