СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:38
#ИБ

MoonPeak: северокорейский RAT UAT-5394, эволюция кибершпионажа

В январе 2026 года в отчёте описан MoonPeak — сложный троян удалённого доступа (RAT), разработанный северокорейской хакерской группировкой UAT-5394. Вредоносное ПО представляет собой модифицированную версию фреймворка XenoRAT с открытым исходным кодом и демонстрирует заметную эволюцию методов кибершпионажа, в том числе собственные протоколы command and control (C2) и расширенные средства защиты от обфускации.

«MoonPeak предназначен в первую очередь для долгосрочного сбора разведывательной информации о широком спектре целей…»

Ключевые характеристики MoonPeak

MoonPeak отличается от типичных финансово‑мотивированных кампаний: его главная цель — долговременный сбор разведданных. Основные особенности:

  • Базируется на XenoRAT, но содержит значительные модификации и собственные C2‑протоколы.
  • Расширенные механизмы обфускации для уклонения от детекции.
  • Ориентирован на сбор разведданных у дипломатических, правительственных, академических и финансовых учреждений.
  • Переход от использования общедоступных облачных сервисов к владению и управлению собственными серверами для повышения устойчивости инфраструктуры и снижения риска сбоев.

Методы доставки и механизм работы

MoonPeak обычно распространяется через Spear phishing emails, содержащие вредоносные файлы LNK, замаскированные под легитимные документы — часто связанные с дипломатическими встречами или инвестиционными дискуссиями. При запуске LNK-файла выполняется:

  • Скрытый, сильно затемнённый запуск PowerShell,
  • Одновременное открытие «документа‑приманки», чтобы отвлечь жертву.

После выполнения MoonPeak собирает обширную системную информацию: метаданные системы, учётные записи пользователей, сведения об установленных средствах безопасности и информацию об операционной системе. Эти данные отправляются на серверы C2, что позволяет злоумышленникам выбирать наиболее ценные цели для дальнейшего использования.

Индикаторы компрометации (IOC)

  • Вредоносные LNK-файлы, замаскированные под PDF или другие документы.
  • Запутанные (обфусцированные) скрипты PowerShell, обнаруженные в C:ProgramData или %TEMP%.
  • Файлы конфигурации, загруженные из общедоступных репозиториев, используемые для перенаправления C2.
  • Изменения в ключах запуска реестра (Run keys) или установка новых служб для обеспечения стойкости.

Стратегическое значение и сопоставление с предыдущими кампаниями

MoonPeak иллюстрирует более широкую стратегию северокорейских акторов: использование фреймворков с открытым исходным кодом для повышения скрытности при снижении затрат на разработку. Смена инструментов и инфраструктуры у UAT-5394 коррелирует с историческими паттернами, наблюдавшимися в деятельности, связанной с Kimsuky, но демонстрирует более высокую степень автономии и контроля над C2‑инфраструктурой.

Рекомендации по снижению рисков

Организациям, особенно в сферах дипломатии, политических исследований и финансовых инвестиций, рекомендуется принять следующие меры:

  • Ограничить выполнение скриптов из файлов LNK и блокировать запуск LNK‑файлов из входящей почты.
  • Внедрить PowerShell в режиме Constrained Language и применить обязательную подпись скриптов (script signing).
  • Приоритизировать поведенческое обнаружение и мониторинг горизонтального перемещения с помощью решений EDR (Endpoint Detection and Response).
  • Контролировать сетевые соединения на предмет коммуникаций с управляемыми злоумышленниками серверами и блокировать подозрительные egress‑каналы.
  • Проводить регулярное обучение сотрудников по распознаванию Spear phishing emails и проверке вложений.
  • Сканировать и устранять признаки уже произошедших компрометаций: искать указанные IOC в файловой системе и реестре, восстанавливать целые системы и пересекать учётные данные при обнаружении активности.

Вывод

MoonPeak — это не просто новая «вариация» RAT: это показательный пример целенаправленного, долговременного кибершпионажа с использованием адаптируемых фреймворков и улучшенной инфраструктуры управления. Организации в уязвимых секторах должны рассматривать эту угрозу как приоритетную и немедленно внедрять перечисленные меры по предотвращению, обнаружению и реагированию.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: