"Карающая сова" выходит на охоту. Новая группа хакеров атакует госсектор РФ — кажется, код за них пишет нейросеть

В декабре 2025 года в российском киберпространстве появилась новая хактивистская группировка Punishing Owl, которая провела серию атак на критическую инфраструктуру России. Специалисты экспертного центра безопасности Positive Technologies зафиксировали изощренную многоступенчатую кампанию, сочетающую взлом, кражу данных и целенаправленные фишинговые атаки.

Сообщение группировки в соцсети.

Первая атака группировки стала публичной 12 декабря 2025 года, когда хакеры объявили о компрометации сетей российского государственного учреждения из сферы безопасности. Злоумышленники не просто украли данные, но и развернули целую инфраструктуру для их распространения, создав сайт с похищенными документами и продублировав файлы в облачном хранилище Mega.

Особенно интересным оказался технический подход группировки. Получив доступ к DNS-конфигурации скомпрометированной организации, хакеры создали поддельный субдомен и перенаправили DNS-записи на свой сервер в Бразилии. Там они разместили не только украденные файлы, но и политический манифест. Для большей убедительности злоумышленники настроили поддельный TLS-сертификат и развернули почтовые службы IMAP и SMTP. Время публикации было выбрано стратегически — пятница вечером в 18:37, когда службы безопасности вряд ли смогут оперативно отреагировать.

Манифест группировки.

Но атака на этом не закончилась. В последующие дни группировка запустила целенаправленную кампанию против контрагентов взломанной организации. Сначала с бразильского сервера были разосланы письма от имени самой группировки, информирующие о взломе. Затем, спустя час, началась более опасная фаза — рассылка от имени реального сотрудника жертвы с вредоносными вложениями.

Письма содержали архив, защищенный паролем, внутри которого находился LNK-файл, замаскированный под PDF-документ с помощью двойного расширения. При открытии этот файл запускал скрытую команду PowerShell, которая загружала с командного сервера и активировала стилер ZipWhisper. Вредонос собирал данные веб-браузеров с зараженного компьютера, упаковывал их в архивы и отправлял обратно на сервер злоумышленников.

Интересная деталь — в коде одного из экземпляров стилера исследователи обнаружили строку с фразой "generated at", что указывает на возможное использование группировкой инструментов искусственного интеллекта для генерации вредоносного кода. Командный сервер маскировался под русскоязычный технический блог, используя домен, который действительно принадлежал легитимному блогу до 2015 года, а затем был заброшен и переregистрирован хакерами только в 2025 году.

Письмо, отправленное контрагенту от имени группировки.

Анализ цифрового следа показывает, что Punishing Owl — совсем молодая группировка. Все аккаунты в соцсетях, на киберкриминальных форумах в даркнете и в онлайн-сервисах были зарегистрированы в декабре 2025 года — в день первой публикации или в течение следующей недели. Группировка активно создает свой "бренд" в киберпреступном мире. По данным одной из соцсетей, аккаунт группировки администрируется с территории Казахстана.

Среди жертв Punishing Owl — исключительно объекты критической информационной инфраструктуры России: государственные учреждения, научные предприятия и IT-организации. Это явно указывает на политическую мотивацию атак.

Эксперты Positive Technologies убеждены, что появление Punishing Owl — не разовая акция. Использование собственных вредоносных инструментов, длительное скрытое присутствие в сетях жертв до публичного разоблачения и активное продвижение собственного бренда в даркнете говорят о серьезных намерениях. В условиях продолжающейся геополитической напряженности появление новых политически мотивированных хактивистских группировок становится закономерностью, и Punishing Owl, похоже, планирует закрепиться в российском киберпространстве надолго.