1.1.1.1 — версия вашего конца: как бэкдор EchoGather захватил российские компании через обычный Excel

Excel XLL VirusTotal приманка бэкдор
1.1.1.1 — версия вашего конца: как бэкдор EchoGather захватил российские компании через обычный Excel
Excel XLL VirusTotal приманка бэкдор

Раньше Excel правил офисами, но в 2025 году одна надстройка превратила его в идеального шпиона.

image

Формат Excel, который многие привыкли считать безобидным офисным инструментом, всё чаще используется как точка входа для кибератак. Речь идёт об XLL-файлах — специальных надстройках Excel, которые на самом деле являются нативными DLL-библиотеками Windows и могут выполнять произвольный код сразу после загрузки. Именно такой механизм в конце 2025 года использовала кибершпионская группировка Paper Werewolf, атаковавшая российские организации с помощью нового бэкдора.

XLL-файлы злоумышленники начали активно эксплуатировать ещё в конце 2010-х годов, однако особенно популярными они стали после 2021 года, когда этот формат начали массово использовать как APT-группы, так и авторы распространённого вредоносного ПО вроде Agent Tesla и Dridex. В отличие от макросов, которые работают в ограниченной среде Excel и сопровождаются предупреждениями безопасности, XLL загружаются приложением напрямую как скомпилированный код Windows и получают полный доступ к системе. Это делает их более опасными и заметно усложняет обнаружение атак.

В конце октября 2025 года исследователи обнаружили подозрительный XLL-файл, загруженный на VirusTotal. Образцы имели характерные русскоязычные названия — «Плановые цели противника.xll» и «Плановые цели противника НЕ ЗАПУСКАТЬ.xll». Такая подача, по всей видимости, должна была создать иллюзию служебного документа и снизить вероятность запуска защитных механизмов. Внутри XLL находился второй этап атаки — ранее не описанный бэкдор, получивший название EchoGather.

После загрузки надстройки Excel вредоносный код активируется не сразу. Он срабатывает в нетипичный момент — при завершении одного из потоков Excel, что позволяет обойти поведенческие механизмы защиты, ориентированные на ранние стадии выполнения. Затем на компьютер жертвы незаметно выгружается исполняемый файл, который начинает сбор подробной информации о системе и устанавливает связь с сервером управления.

EchoGather собирает широкий набор данных: IPv4-адреса, тип операционной системы, архитектуру, NetBIOS-имя компьютера, имя пользователя, домен рабочей станции, идентификатор процесса, путь к исполняемому файлу, а также статическую строку версии 1.1.1.1. Эти сведения кодируются в Base64 и регулярно отправляются на управляющий сервер с интервалами в несколько минут. Бэкдор умеет выполнять команды, передавать файлы с заражённой системы и записывать данные на компьютер по указанию оператора, при этом он корректно работает через прокси и игнорирует ошибки проверки SSL-сертификатов.

Инфраструктура кампании была замаскирована под внешне безобидные домены, часть из которых сначала работала через Cloudflare, а затем переезжала на IP-адреса, географически связанные с Россией. Помимо XLL-надстроек, злоумышленники использовали и другие способы доставки — в том числе вредоносные архивы WinRAR, эксплуатирующие уязвимость с альтернативными потоками данных NTFS. При распаковке такие архивы могли незаметно размещать файлы в системных каталогах, включая папку автозагрузки Windows.

Параллельно с запуском вредоносного кода жертве демонстрировались документы-приманки — якобы официальные письма и приглашения на русском языке. При более внимательном рассмотрении в них обнаруживались характерные ошибки и странности. Так, в тексте использовались неверные кириллические буквы, например буква «Д» вместо «Л», встречалось слово «праздиика» вместо «праздника», а фраза «с глубоким уважением приглашает» звучала неестественно для формального делового письма. В одном из документов штамп с государственным гербом напоминал искажённое изображение двуглавого орла, что дополнительно указывало на вероятное использование генеративных инструментов.

Анализ инфраструктуры, сходство приманочных документов и совпадения в используемых уязвимостях позволили связать эту кампанию с группировкой Paper Werewolf, также известной как GOFFEE. Ранее она уже применяла уязвимости WinRAR и фокусировалась на атаках против российских организаций, а теперь, судя по всему, экспериментирует с новыми форматами доставки вредоносного ПО, включая XLL-файлы.

Данная кампания примечательна ещё и тем, что публичные отчёты о подобных кибератаках появляются сравнительно редко. Использование XLL-надстроек и нового бэкдора показывает стремление злоумышленников усложнить обнаружение и обойти защитные механизмы. При этом даже на фоне технических новшеств в их работе заметны слабые места — от неаккуратной языковой маскировки до шаблонных приманок, что говорит о продолжающемся развитии и тестировании их инструментов.