Хакеры из группы Erudite Mogwai атаковали российские государственные структуры, используя фишинг под видом подрядчиков

Восточноазиатская киберпреступная группировка Erudite Mogwai провела целевую атаку на одну из российских государственных организаций, маскируя вредоносную активность под официальную коммуникацию от подрядчика. Как сообщили в пресс-службе компании «Солар», специалисты которой выявили инцидент, злоумышленники использовали фишинговую рассылку с прикреплённым архивом, оформленным под служебные материалы.

Письма поступили сотрудникам государственного учреждения в мае 2025 года. В теле сообщения предлагалось срочно проверить корпоративные ресурсы на наличие киберугроз. Вложение представляло собой архив под названием «Приложение.7z», в который были помещены три файла: поддельная анкета сотрудника, легитимный PDF-документ и вредоносный компонент, замаскированный под уведомление о проверке. Была использована программа-загрузчик, способная обнаруживать запуск в изолированных средах и при этом немедленно прекращающая выполнение, что серьёзно затрудняло детектирование на раннем этапе.

Вредоносный элемент содержал бэкдор — программный модуль для удалённого доступа к заражённой машине. С его помощью операторы атаки потенциально могли получить контроль над системами, просматривать содержимое, выгружать данные и развивать дальнейшее проникновение в инфраструктуру. В «Солар» уточнили, что заражённой оказалась структура из числа городских департаментов, но точное название учреждения не раскрывается.

Аналитики установили связь между текущим инцидентом и атаками, зафиксированными в 2024 году. В обоих случаях использовался схожий сценарий: рассылка через поддельные или скомпрометированные образовательные домены, многоступенчатая загрузка компонентов и отсроченная активация вредоносного функционала. Такая схема позволяет обойти автоматические системы фильтрации и затрудняет оперативную локализацию заражения.

Особенность применённого вредоноса — его способность адаптироваться к среде исполнения, обнаруживать попытки анализа и уходить в спящий режим в случае подозрительной активности. Это делает подобные атаки особенно опасными для организаций с устаревшими средствами защиты или слабым контролем над внешними каналами коммуникации.

Эксперты «Солар» уточняют, что основным вектором проникновения в этом случае стали доверительные отношения между организациями. Под видом регулярного взаимодействия с подрядчиком злоумышленники смогли обойти первичные механизмы недоверия, что указывает на высокую степень подготовки атаки.