PhantomCore усиливает атаки новым RAT и фишинговыми сценариями

PhantomCore — преступная хакерская группировка, которую исследователи рассматривают как значимую угрозу для российских и белорусских компаний, — заметно усовершенствовала свои инструменты и тактики с момента первых зафиксированных атак примерно в 2022 году.

Ключевая особенность группы — способность быстро адаптироваться к меняющейся среде угроз и внедрять новые подходы. В последние месяцы PhantomCore, по данным отчета, сделала ставку на сочетание традиционного malware и более продвинутых инструментов, включая решения, связанные с artificial intelligence.

Новый инструмент: KermitRAT

Среди последних разработок группы — KermitRAT, proprietary malware для удаленного доступа. Он предназначен для выполнения команд, эксфильтрации данных и сбора подробной системной информации.

Функциональность KermitRAT включает:

• выполнение скрытых команд через PowerShell или cmd;
• снятие скриншотов;
• регистрацию нажатий клавиш;
• передачу собранных данных на серверы command and control (C2).

Одной из технических особенностей вредоносного ПО является создание JSON-файлов, в которые агрегируется подробная системная информация: сведения об операционной системе, сетевых подключениях, установленном программном обеспечении и действиях администратора. Далее эти данные отправляются на C2 по определенному FTP-шаблону.

Фишинг и закрепление в системе

В ходе атаки 8 апреля 2026 года PhantomCore использовала фишинговую схему: злоумышленники рассылали электронные письма, якобы связанные с визитом делегации. В письмах применялись вредоносные HTA-файлы, замаскированные под PDF-документы.

Эти HTA-файлы запускали PowerShell-скрипты, которые встраивались в реестр для обеспечения закрепления в целевых системах. Скрипты не только выполняли команды, но и автоматизировали загрузку дополнительных вредоносных payloads, расширяя масштаб атаки.

Один из скриптов, по данным отчета, проверял наличие определенных разделов реестра и изменял их, чтобы хранить команды для последующего выполнения.

Дополнительные инструменты и инфраструктура

PhantomCore также связывают с использованием MeshAgent — инструмента удаленного мониторинга, который предоставляет широкий доступ к зараженным устройствам. Он позволяет удаленно управлять файлами и выполнять команды.

Сетевая инфраструктура группы, как отмечается в отчете, может иметь связи с CyberStrikeAI — open-source AI-платформой, предназначенной для penetration testing. Это может указывать на то, что PhantomCore использует не только привычные вредоносные средства, но и передовые технологии и frameworks для усиления наступательных возможностей.

Вывод

Сочетание новых разработок и уже проверенных инструментов показывает, что PhantomCore делает ставку на постоянное обновление арсенала. Группа не ограничивается классическим malware, таким как Sliver и MeshAgent, а использует более сложные методы, включая решения на базе artificial intelligence, чтобы повысить эффективность атак против целевых организаций.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.