Image

Кибербез не для всех

ИБ — это не только капюшоны: как найти свое место в безопасности и не выгореть за полгода?

«Откройте вложение, чтобы посмотреть тарифы». Хакеры атаковали телеком-компании в Кыргызстане и Таджикистане с помощью писем от «потенциальных клиентов»

Positive Technologies фишинг LuciDoor MarsSnake телеком
«Откройте вложение, чтобы посмотреть тарифы». Хакеры атаковали телеком-компании в Кыргызстане и Таджикистане с помощью писем от «потенциальных клиентов»
Positive Technologies фишинг LuciDoor MarsSnake телеком

Китайский след в коде и арабский в письме: эксперты нашли странную языковую смесь в вирусах.

image

Специалисты PT ESC TI зафиксировали серию целевых атак на телеком-компании в Кыргызстане и Таджикистане. Входной точкой стал фишинг: злоумышленники рассылали письма с приманками под «запросы от клиентов» и подсовывали документы или ссылки, внутри которых прятался вредоносный код. Чтобы не вызывать подозрений, вредоносы маскировали под легитимные компоненты Microsoft Windows.

Первая волна пришлась на сентябрь 2025 года и была нацелена на организации в Кыргызстане. Письма отправляли якобы от потенциальных клиентов, которые интересовались тарифами мобильной связи. Вложением шел документ, а после его открытия пользователь видел картинку с русскоязычной инструкцией: чтобы «снять защиту», предлагалось запустить скрипт. На деле это был запуск заражения. Скрипт загружал бэкдор LuciDoor и пытался установить связь с управляющим сервером. Если прямое подключение не удавалось, вредонос переключался на обходные варианты: использовал системные прокси или цеплялся за другие узлы внутри инфраструктуры жертвы. После успешного соединения LuciDoor собирал базовые сведения об устройстве, мог подгружать дополнительные программы и выводить данные.

В ноябре 2025-го атаки на Кыргызстан повторились почти по той же схеме, но с другим инструментом: вместо LuciDoor применили бэкдор MarsSnake. Его особенность в том, что конфигурацию можно менять без пересборки исполняемого файла: достаточно обновить параметры в загрузчике. Это ускоряет работу атакующих и упрощает адаптацию под новую цель. Закрепившись в системе, MarsSnake собирает информацию о хосте, вычисляет уникальный идентификатор и отправляет данные на управляющий сервер.

Отдельную деталь исследователи сочли показательной: сами вредоносные документы были на русском, но в настройках встречались арабский, английский и китайский языки, а внутри файлов обнаружилось поле, указывающее на использование китайского. По оценке PT, это может означать, что у атакующих Microsoft Office настроен на китайскую локаль или они использовали заранее подготовленный шаблон документа.

В январе 2026 года фокус сместился на Таджикистан. Там сценарий слегка изменили: вместо вложенного документа в письма добавляли вредоносную ссылку, ведущую на файл с «обновленной» картинкой, уже с англоязычным текстом. При этом группировка снова задействовала LuciDoor, но с измененной конфигурацией.