Приманка для командира: кибершпионы SiribClone атакуют российских военных через фейковые приложения для обмена фото и облачные хранилища
Изображение: recraft
Специалисты компании F6, российского разработчика технологий для борьбы с киберугрозами, проанализировали атаки новой кибершпионской группы SiribClone. Её цель – военнослужащие ВС РФ, находящиеся на приграничных территориях и в зоне проведения СВО. Злоумышленники стремятся получить доступ к Telegram-аккаунтам бойцов, а также распространяют вредоносное ПО для заражения десктопных устройств и смартфонов под видом архивов с документами на военную, патриотическую тематику и мобильных приложений для обмена фото. Для доставки вредоносного ПО на мобильные устройства и распространения ссылок на фейковые страницы авторизации в Telegram атакующие активно используют социальную инженерию, переписываясь с военнослужащими под видом девушек и волонтёров.
Обмануть любой ценой
Эксперты департамента киберразведки (Threat Intelligence) компании F6 представили исследование атак новой кибершпионской группировки, которая действует против российских военных. Специалисты F6 назвали её SiribClone. На след группировки они вышли в феврале 2026 года и впоследствии выяснили, что самая ранняя активность злоумышленников датируется как минимум летом 2025-го.
SibirClone действует по двум направлениям. Первое – распространение вредоносного ПО для десктопных и мобильных устройств. Цель злоумышленников – собрать со скомпрометированных устройств максимально возможный объём личных, технических, географических и других данных. Второе – получение доступа к Telegram-аккаунтам пользователей для перехвата переписки и сведений о контактах.
В атаках на пользователей персональных компьютеров SiribClone применяет новое вредоносное ПО, которое в F6 назвали SiribGrabber. Его основная цель – кража данных.
Для доставки вредоносного приложения зимой 2026 года атакующие использовали как приманку ZIP-архив с ведомственным документом о внедрении системы информационного взаимодействия. В мае злоумышленники сменили тактику: для распространения ВПО использовали фейковый сайт движения «Бессмертный полк». При нажатии на кнопку «Принять участие» под видом анкеты скачивался архив: внутри находился файл, открытие которого приводило к загрузке ВПО.
«Заходим, смотрим, выходим»
В атаках на пользователей мобильных устройств SiribClone активно использует социальную инженерию.
В основном злоумышленники под видом девушек знакомятся с военнослужащими через приложения для знакомств в популярных мессенджерах и на других платформах. В ходе переписки «девушки» под разными предлогами предлагали пользователям перейти по ссылке. Специалисты F6 зафиксировали две основные схемы.
«Если интересно, посмотри». В зависимости от сценария «девушка» представляется программистом и предлагает протестировать предложение, которое «она» разработала, для чего присылает ссылку. Или предлагает «безопасно» обмениваться фотографиями через специальное приложение, которое нужно скачать.
APK-файлы, которые рассылают злоумышленники, носят название «Safeintim» (также встречаются схожие варианты «SafeintimZ» и «ZafeintimZ»). Судя по названию файла, предполагается, что фото для обмена будут носить интимный характер.
На самом деле под видом легитимного приложения скрывается ранее не встречавшееся шпионское ПО, которое в F6 назвали SafeLoveStealer. Эта программа запрашивает минимальное количество разрешений, имитирует реальную работу приложения. И в то же время незаметно для пользователя передаёт информацию с устройства, включая аудио, видео, фото и документы, геопозицию, данные сети и WiFi-модема. Также программа позволяет злоумышленникам вести запись с микрофона и передавать аудио, на которых слышна речь. По сути, такое приложение превращает Android-смартфон в круглосуточного шпиона.
«Волонтёры предлагают помощь». Во втором сценарии злоумышленники представляются волонтёрами и под предлогом сбора запросов на гуманитарную помощь предлагают заполнить таблицу по ссылке.
Операция «Компрометация»
Итогом переписки с преступниками под видом «девушек» или «волонтёров» может стать не только установка шпионского ПО на смартфон, но и подключение злоумышленников к Telegram-аккаунту пользователя.
В инфраструктуре кибершпионской группировки специалисты F6 обнаружили фишинговые страницы, предназначенные для компрометации Telegram-аккаунтов и кражи Telegram-сессий. Такие страницы маскируют, например, под страницы входа в «облачное хранилище Telegram», добавления к различным сообществам в мессенджере, получения результатов медицинских анализов, а также страницу авторизации в фейковом приложении, которое якобы позволяет «знать о тратах своих бывших».
На фейковых страницах пользователям предлагают ввести номер телефона, код для входа в Telegram и при необходимости 2FA‑пароль («облачный пароль»). После ввода этих данных злоумышленники получают доступ к аккаунту пользователя, который позволяет им, например, в режиме реального времени читать его переписку.
Кроме того, эксперты F6 Threat Intelligence обнаружили приложение, которое атакующие использовали для просмотра сообщений скомпрометированных аккаунтов. В этом приложении отображаются списки аккаунтов, доступ к которым получили злоумышленники, список каналов и чатов каждого из скомпрометированных пользователей, а также «заметки» по ним: краткое описание личности пользователя, его должность и другие сведения.
Анализ заметок злоумышленников позволяет сделать вывод, что цель их атак – военнослужащие ВС РФ, находящиеся на приграничных территориях и в зоне проведения СВО. Описание геолокаций атакованных пользователей, упоминание их званий и войсковых частей подтверждает, что задача атакующих – военный шпионаж.
