Мы вскрываем схемы, пока их прячут
Image

Мы вскрываем схемы, пока их прячут

Подпишись на нас и смотри, как ломают системы и как это чинят, пока остальные делают вид, что все ок.

ZIP-архив и скрытый MSBuild. Из чего состоит новая атака на военных, которую пропустили антивирусы

Patchwork StreamSpy Spyder ShadowAgent DoNot QiAnXin кибератаки
ZIP-архив и скрытый MSBuild. Из чего состоит новая атака на военных, которую пропустили антивирусы
Patchwork StreamSpy Spyder ShadowAgent DoNot QiAnXin кибератаки

Пока спецслужбы искали сложные вредоносы, шпионы просто вошли через парадную дверь.

image

Группа взломщиков Patchwork, также известная под названиями Dropping Elephant и Maha Grass, вновь оказалась в центре внимания после серии целевых атак на оборонные структуры Пакистана. В своей последней кампании злоумышленники использовали фишинговые письма с ZIP-архивами, внутри которых скрыт проект MSBuild. При запуске он активирует загрузчик, устанавливающий вредоносное ПО, написанное на Python.

Вредонос может подключаться к удалённому серверу, запускать модули на Python, выполнять команды и обеспечивать обмен файлами. В этой кампании применялись техники тщательной маскировки — от модифицированных сред выполнения до скрытых каналов связи и методов закрепления в системе.

С конца 2025 года за группой закрепилась связь с новым трояном StreamSpy. Эта ранее неизвестная программа использует протоколы WebSocket и HTTP, чтобы разделить управление и передачу файлов. Инструкции от сервера поступают по WebSocket, а файлы перехватываются и отправляются через HTTP.

Анализ, проведённый китайской компанией QiAnXin, показал, что StreamSpy имеет сходство с другим вредоносом под названием Spyder, который, в свою очередь, считается модификацией семейства WarHawk, связанного с группой SideWinder. Использование Spyder группой Patchwork фиксируется с 2023 года.

StreamSpy распространяется через архивы с названиями вроде «OPS-VII-SIR.zip», размещённые на домене «firebasescloudemail[.]com». Основной исполняемый файл — «Annexure.exe» — собирает системную информацию, может закрепляться в системе через реестр, планировщик заданий или LNK-файл в папке автозагрузки. Обмен данными с командным сервером реализован через два канала: WebSocket и HTTP.

Среди возможностей вредоноса — загрузка и открытие файлов, запуск команд через разные оболочки, сбор сведений о файловой системе и подключённых дисках, передача и удаление файлов, а также просмотр содержимого конкретных папок. Некоторые команды загружают зашифрованные ZIP-файлы, распаковывают их и автоматически запускают содержимое.

QiAnXin также зафиксировала, что на том же ресурсе распространяются и варианты Spyder с расширенными функциями сбора данных. При этом цифровая подпись «Annexure.exe» пересекается с другим трояном — ShadowAgent, приписываемым группе DoNot (она же Brainworm). Ещё в ноябре 2025 года Центр анализа угроз 360 классифицировал этот исполняемый файл как ShadowAgent.

По мнению китайских специалистов, появление StreamSpy и модификаций Spyder свидетельствует о том, что Maha Grass активно развивает своё программное вооружение. Применение WebSocket-каналов в StreamSpy можно рассматривать как попытку обойти фильтрацию трафика и скрыть командную активность. Кроме того, сходство образцов подтверждает, что Patchwork и DoNot, по всей видимости, обмениваются ресурсами и технологиями.