Операция Peek-a-Baku: эволюционирующие стратегии Silent Lynx

Новый отчет раскрывает масштабную кампанию под названием Peek-a-Baku, в рамках которой APT-группировка Silent Lynx демонстрирует возросшую активность в шпионаже против государственных структур в Центральной Азии и России. Действуя под ранее используемыми псевдонимами — такими как YoroTrooper и Sturgeon Phisher — группа систематически нацеливается на критически важные секторы и использует геополитические события для повышения эффективности атак.

Кто и против кого

Цели атак — правительственные учреждения, национальные банки, инфраструктурные проекты (включая железные дороги) и дипломатические мероприятия. Особое внимание злоумышленников уделяется участникам саммитов и связанных с ними коммуникаций в регионе.

Методология и тактики

Анализ операций показывает, что Silent Lynx использует комбинацию социальной инженерии и технических средств для заражения и закрепления в целевых сетях. В основу их подхода легло использование текущих геополитических событий — например, саммита в Астане — для рассылки вредоносных писем соседним странам с целью вовлечения выбранных адресатов.

• Рассылка фишинговых писем, использующих тематику дипломатических и инфраструктурных мероприятий;
• Применение архивов RAR, замаскированных под подлинные документы (в одном случае — с грамматически некорректным русским названием, указывающим на неродного автора);
• Доставка через файлы LNK, используемые как ярлыки для запуска вредоносных нагрузок;
• Использование двухуровневых скриптов и размещённых на GitHub payload’ов для поддержания доступа в сетях;
• Элементарные методы обфускации, направленные на снижение вероятности обнаружения.

Пример инцидента

В октябре 2025 года исследователи обнаружили RAR-архив, маскирующийся под документ, при этом файл имел грамматически неправильное название на русском языке — указывающее на участие неродного автора в подготовке фишингового письма. Это свидетельствует о том, что злоумышленники прибегают к простым, но эффективным трюкам для обхода базовых фильтров и человеческой проверки.

«Эти находки подтверждают, что группа сочетает социальную инженерию с доступными техническими средствами — и делает упор на дешёвые, труднопросматриваемые методы закрепления, такие как LNK и размещённые на GitHub скрипты.»

Значение и выводы

Поведение Silent Lynx указывает на целенаправленную шпионскую миссию в рамках определённой геополитической повестки. Мониторинг их TTP (тактик, методов и процедур) остаётся ключевым элементом приписывания и реагирования на эти кампании. Активность группы, особенно вокруг дипломатических саммитов, делает их угрозу особенно опасной для критически важных секторов региона.

Последствия для безопасности

• Повышенный риск компрометации государственных и инфраструктурных сетей;
• Необходимость усиленного мониторинга фишинговых кампаний, связанных с крупными событиями;
• Возможное широкое распространение двухуровневых скриптов и публично размещённых payload’ов, облегчающее поддержание доступа злоумышленников.

Рекомендации (кратко)

Серьёзность кампании побуждает к оперативным мерам по минимизации риска: усиление проверки вложений в почтовых сообщениях, контроль исполнения LNK-файлов, мониторинг подозрительной активности на GitHub-репозиториях и отслеживание характерных TTP, применяемых Silent Lynx.

Операция Peek-a-Baku служит напоминанием о том, что даже простые методы обфускации в руках ориентированных на шпионаж APT-групп могут привести к серьёзным последствиям для национальной безопасности и международной дипломатии.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.