Хакеры из CapFix проводили атаки на российскую сферу авиастроения, рассылая письма от госструктур

С конца 2025 по март 2026 года группа CapFix атаковала российские промышленные и авиастроительные предприятия, маскируя письма под официальную переписку от государственных структур. Цель — заставить получателей открыть вредоносные вложения, не заподозрив ничего лишнего. Кампанию раскрыли специалисты Positive Technologies, зафиксировавшие активность ещё в декабре 2025 года.

Письма выглядели убедительно — официальный стиль, деловой тон, PDF или HTML-файл внутри. В этих файлах прятались ссылки на архивы с вредоносным содержимым. Рассылка шла через уже взломанные серверы, что добавляло правдоподобия — письмо приходило с реального адреса, а не с какой-то подозрительной помойки.

Зайти в чужую инфраструктуру атакующие могли через уязвимость CVE-2025-49113 в веб-клиенте Roundcube Webmail — 9,9 баллов по шкале CVSS, то есть почти максимум. Закрепившись на серверах, они использовали их как плацдарм для дальнейшего распространения вредоносных компонентов.

Главным инструментом стала обновлённая версия CapDoor. Эта программа работает как промежуточное звено — проникает в систему и подгружает дополнительные модули. Один из них — троян удалённого доступа SectopRAT, дающий операторам полный контроль над заражённой машиной. Сам CapDoor при этом собирает данные о компьютере, делает скриншоты и передаёт файлы по команде.

Вопрос о мотивации пока открыт. Александр Бадаев из группы киберразведки Positive Technologies говорит, что CapFix изначально считается финансово мотивированной группой — и эта версия никуда не делась. Но выбор целей и уровень инструментов больше напоминают операции продвинутых групп, работающих против промышленности и стратегических отраслей.

Аналитики нашли ещё четыре новых домена, связанных с этой активностью. Пока они простаивают, но эксперты считают, что это задел на будущее — заготовка для следующей волны атак и расширения кампании.