«ТЗ на согласование» и фальшивый «Яндекс»: Как устроена новая волна кибератак на компании в РФ

Аналитики F6 обнаружили новую волну вредоносных рассылок от группировки PhantomCore. 19 и 21 января 2026 года специалисты зафиксировали масштабную рассылку, направленную на электронные адреса российских компаний из сфер ЖКХ, финансов, городской инфраструктуры и муниципальных услуг, аэрокосмической отрасли, потребительских цифровых сервисов, химической промышленности, строительства, производства потребительских товаров, а также электронной коммерции и маркетплейсов.

PhantomCore — группа, атакующая российские и белорусские компании с 2022 года, впервые обнаруженная специалистами F6 в 2024 году. Группа получила такое название как сумма слов Phantom и Core. Phantom — поскольку в инструменте на .NET был неймспейс у классов «Phantom». Core — поскольку злоумышленники в запланированных задачах использовали имя MicrosoftStatisticCore.

Письма приходили с темой «ТЗ на согласование». Вложение «ТЗ на согласование сб 54 от 19.01.26.zip» содержало два файла: LNK-файл и документ с расширением .doc. При этом файл с расширением .doc на самом деле не является подлинным документом — это RAR-архив, содержащий одноименную директорию с файлами, относящимися к действительному документу.

Использование атакующими легитимных адресов электронной почты для рассылок может указывать на их компрометацию. Среди доменов отправителей были npocable-s.ru, satnet-spb.ru, nppntt.ru, tk-luch.ru и skbkp.tarusa.ru.

После запуска LNK-файл выполняет сложную команду, которая перебирает переменные окружения, ищет PowerShell и загружает вредоносный скрипт с взломанного сайта. Атака проходит в несколько стадий.

На первой стадии загруженный скрипт выполняет сразу несколько действий: загружает и отображает документ-приманку, загружает следующую стадию в память и создает задачу в планировщике задач Windows для закрепления в системе. Документ-приманка сохраняется во временной папке и автоматически открывается, чтобы не вызвать подозрений у жертвы.

Созданная задача в планировщике получает название «Yandex Task» с добавлением идентификатора пользователя и настраивается на повторение с интервалом в 61 секунду — как с момента создания, так и с начала каждого следующего дня. Это обеспечивает постоянное присутствие вредоносного ПО в системе.

На второй стадии вредоносное ПО, написанное на PowerShell, практически идентично ранее известному PhantomCore.PollDL. После запуска оно выполняет GET-запросы на управляющий сервер, передавая уникальный идентификатор, имя компьютера и домена. В ответ ожидается получить команду для выполнения. Результат выполнения команды отправляется обратно на сервер через POST-запрос.

В ходе дальнейшего исследования специалисты F6 обнаружили несколько скомпрометированных ресурсов, используемых для размещения вредоносных скриптов: ink-master.ru, spareline.ru, shibargan.ru, act-print.ru, metelkova.ru, mistralkorea.ru и ast-automation.ru. Все эти сайты содержали вредоносные файлы в директориях, имитирующих структуру WordPress.

Управляющие серверы располагались по IP-адресам 217.60.60.18, 217.60.5.249, 217.60.1.46 и 217.60.5.116. Группировка использует распределенную инфраструктуру для затруднения блокировки и отслеживания.