Пришли в гости в прошлом году, а грабить начали только сейчас. Краткий гид по очень терпеливым хакерам
Специалисты потянули за одну нитку и распутали клубок из десятков скрытных взломов.
Недавняя атака на европейскую транспортно-логистическую компанию помогла IT-экспертам собрать в одно целое множество разрозненных эпизодов, о которых в последние месяцы сообщали разные ИБ-команды. Специалисты Fortgale считают, что за ними стоит не набор несвязанных вторжений, а координированная кампания «Storming Tide», в которой сразу несколько преступных групп действуют по общей схеме.
Расследование началось в феврале 2026 года, когда в сети пострадавшей организации заметили подозрительное сканирование. Дальнейшая проверка показала, что злоумышленники закрепились гораздо раньше — ещё в конце 2025 года, взломав пограничный сетевой экран Fortinet. Через скомпрометированное устройство атакующие настроили VPN-канал для скрытого повторного доступа, а затем на несколько месяцев почти полностью замерли, избегая лишнего шума.
Позже группа, которую Fortgale отслеживает как Mora_001, перешла во внутреннюю сеть через неуправляемые узлы и развернула цепочку вредоносных инструментов. Загрузчик Matanbuchus 3.0 доставил Astarion RAT и SystemBC, а для возможной выгрузки данных готовили RClone и внешнее S3-совместимое хранилище. Fortgale утверждает, что быстрые меры сдерживания сорвали и вынос информации, и запуск шифровальщика.
По версии компании, главной целью кампании был не мгновенный выкуп, а сбор разведданных и постепенное хищение ценной информации. Наличие инструментов, характерных для вымогательских атак, в Fortgale не считают противоречием. Такой гибридный подход всё чаще встречается у многих групп, когда разведка сочетается с возможностью позже монетизировать доступ.
Fortgale отмечает, что картина совпадает с публикациями Amazon, SentinelOne, Arctic Wolf, eSentire, Huntress и Forescout. В разных инцидентах повторялись одни и те же признаки: атаки на Fortinet, использование Matanbuchus, Astarion RAT и SystemBC, компрометация сервисных учётных записей, продвижение к Active Directory и подготовка к вымогательской операции без подтверждённого финального запуска шифрования.
Отдельное внимание в отчёте уделено эволюции Mora_001. Если раньше группу связывали с быстрыми атаками и развёртыванием SuperBlack вскоре после взлома, то в 2026 году тактика изменилась. Вместо стремительного удара злоумышленники действовали терпеливо, месяцами сохраняли доступ и делали ставку на скрытность. Fortgale допускает, что группа либо изменила модель работы, либо стала частью более крупной экосистемы, где разные участники отвечают за первичный доступ, развитие атаки и вынос данных.