Идёт сложная целевая кибератака против российских компаний через механизм обновлений ViPNet
Эксперты Kaspersky GReAT (Глобального центра исследования и анализа угроз «Лаборатории Касперского») обнаружили новую сложную целевую кибератаку HelloNet против российских предприятий, которая активна до сих пор. С этой кампанией кибершпионажа столкнулись крупные организации из государственного, промышленного, энергетического, транспортно-логистического и образовательного секторов.
Для заражения злоумышленники используют систему обновлений ViPNet — ПО для создания защищённых сетей. Атака реализуется через технику DLL Sideloading* — ей подвержен один из компонентов ViPNet, который запускается при старте операционной системы.
В кампании применяется ранее неизвестный сложный инструментарий: загрузчик дополнительных вредоносных компонентов HelloInjector; инструмент для проксирования трафика и запуска новых вредоносных нагрузок HelloProxy; имплант HelloExecutor, с помощью которого атакующие могут выполнять команды на заражённой системе; и HelloCleaner — модуль для очистки файлов журналов ПО ViPNet, который позволяет злоумышленникам скрыть свою активность. В одной из заражённых систем был выявлен новый бэкдор** HelloBackdoor, используемый для манипуляций с файловой системой.
На основе технического анализа с низкой долей уверенности данную вредоносную активность можно атрибутировать к неизвестной китайскоговорящей группировке.
«Это уже не первый раз, когда мы наблюдаем, что продвинутая группировка нацеливается на компьютеры, подключённые к сетям ViPNet. Например, в 2025 году мы обнаружили сложный бэкдор, мимикрирующий под обновления ViPNet, — тогда с вредоносной кампанией столкнулись десятки российских организаций. Учитывая то, что это ПО распространено в корпоративном секторе и может использоваться злоумышленниками для проведения кибератак, мы рекомендуем уделить особое внимание защите рабочих станций, где оно установлено, и провести мониторинг сетевого трафика на предмет следов возможного заражения», — комментирует Георгий Кучерин, старший эксперт Kaspersky GReAT.
Защитные решения «Лаборатории Касперского» предотвращают попытки заражения и детектируют описанную вредоносную активность как: Trojan.Win32.Agentb.ttoe, Trojan.Win64.Convagent.gen, Trojan.Win64.Agent.smgpqx, Trojan.Win64.DllHijacking.gen.
С более подробным техническим анализом кампании можно ознакомиться на СМИ.
* DLL sideloading — атака, при которой злоумышленники распространяют вредоносную библиотеку DLL (Dynamic Link Library) вместе с легитимным приложением, которое её выполняет.
** ПО для скрытого дистанционного управления заражённым устройством.



