Кибершпионы стали притворяться госслужащими Кыргызстана

В некоторых случаях злоумышленники компрометируют реальные почты чиновников, чтобы использовать эти адреса для атак на компании

25 сентября 2025 г.

Все лето кластер Cavalry Werewolf атаковал российские организации, выдавая себя за госслужащих Кыргызстана. Целью злоумышленников стали государственные учреждения, а также компании из сферы энергетики, добычи полезных ископаемых и обрабатывающей промышленности. Мотивация кибергруппировки — шпионаж.

Притворяясь сотрудниками различных министерств Республики Кыргызстан, атакующие рассылали жертвам письма с якобы важными документами. На самом деле в RAR‑архивах скрывалось вредоносное ПО. Причем это были не коммерческие, массовые программы, которые можно купить на теневых площадках. Злоумышленники создавали собственные: реверс-шеллы FoalShell и трояны удаленного доступа StallionRAT с управлением через Telegram. Эти инструменты позволяли атакующим удаленно управлять скомпрометированным устройством.

Для рассылок преступники чаще всего создавали почтовые ящики, похожие на настоящие адреса чиновников. Однако в некоторых случаях использовали реальный email, скомпрометированный ранее, — он был указан в качестве контактного на сайте одной из госструктур республики.

Злоумышленники используют информационную и политическую повестку в своих интересах. Мимикрия под госслужащих стран СНГ — это способ вызвать у пользователя доверие и подтолкнуть его открыть письмо с вложениями. Важно помнить, что организации, под которые маскируются злоумышленники, не несут ответственности за действия преступников и причиненный в результате ущерб.

Фишинговые письма Cavalry Werewolf не выбивались из стилистики официальной переписки. Правдоподобный фишинг, который сложно распознать, а также использование самописных программ и активные эксперименты с арсеналом — характерный почерк шпионских группировок. Их главная цель — как можно дольше оставаться незамеченными в скомпрометированной инфраструктуре.

Олег Скулкин

Руководитель BI.ZONE Threat Intelligence

Специалисты BI.ZONE Threat Intelligence также выявили признаки, которые могут свидетельствовать о подготовке кластером новых кибератак, на этот раз против Таджикистана и стран Ближнего Востока. В частности, были обнаружены файлы с названиями на таджикском и арабском языках, созданные злоумышленниками. Кроме того, группировка продолжает видоизменять свой арсенал и тестирует новые вредоносные программы, в частности троян удаленного доступа AsyncRAT. В отличие от самописных инструментов, которые кластер использовал в летней кампании против российских организаций, этот троян бесплатен и доступен на одной из самых популярных платформ для хостинга IT‑проектов. Но для своих задач злоумышленники выбрали не базовую версию программы, написанную на C#, а ее модификацию, переписанную на языке программирования Rust.

Ранее эксперты BI.ZONE Threat Intelligence сообщали, что доля атак в целях шпионажа продолжает расти. В 2023 году этот показатель составил 15% от всех инцидентов, к концу 2024‑го — 21%, а по итогам первой половины 2025 года достиг рекордных 36%.

Большинство кибератак на организации России и других стран СНГ начинаются с фишинговых писем. Чтобы защититься от них, необходимо использовать специализированные сервисы, фильтрующие нежелательные письма, например BI.ZONE Mail Security. Его механизмы позволяют блокировать нелегитимные письма, доставляя безопасные без задержек. А порталы киберугроз, например BI.ZONE Threat Intelligence, помогут выстроить проактивную защиту компании и обеспечить быстрое реагирование на инциденты, предоставляя подробную информацию об актуальных атаках, злоумышленниках, их тактиках, техниках, инструментах, а также сведения с теневых ресурсов.