В декабре 2025 года специалисты департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC TI) обнаружили хакерскую кампанию против российских организаций. Эксперты выяснили, что за вредоносной активностью стоит группировка CapFix, атаковавшая пользователей с помощью фишинговых писем.
Те содержали PDF- или HTML-файлы, внутри которых находились ссылки для скачивания архивов со зловредной нагрузкой. Вложения были замаскированы преимущественно под официальные сообщения от государственных структур.
Исследование показало, что во время атак осенью 2025-го группировка направляла фишинговые письма российским компаниям, работающим в сфере промышленности и авиастроения. Значительно повышало эффективность атак и то, что хакеры использовали скомпрометированные серверы для рассылки вредоносных файлов от имени доверенных источников. Эксперты предполагают, что злоумышленники получили к ним доступ через эксплуатацию критически опасной уязвимости в почтовом веб-клиенте Roundcube Webmail (CVE-2025-49113, оценка по шкале CVSS — 9,9).
В новых акциях хак-группа применяет усовершенствованную версию вредоносного ПО CapDoor. Этот инструмент служит одной из ступеней заражения и позволяет загружать на устройства жертв дополнительные вредоносные модули, например, программу для удалённого доступа SectopRAT. CapDoor обладает расширенной функциональностью: он может собирать информацию о заражённой системе, делать снимки экрана и загружать файлы различных форматов по команде операторов.
Кроме того, специалисты обнаружили более ранние образцы вредоноса, при доставке которых для маскировки использовалась криптовалютная тематика. В ноябре более десяти подобных образцов ВПО было загружено в публичные песочницы пользователями из Мексики, США, Нидерландов, Франции и других стран. Помимо этого, были найдены фишинговые сайты с техникой ClickFix, имитирующие сервисы бронирования отелей.
«CapFix изначально рассматривалась как финансово мотивированная группировка, и мы всё ещё считаем её таковой, учитывая артефакты в фишинговых письмах и обнаруженные атаки. Но нельзя не отметить, что выбор целей и инструментарий действительно больше соответствуют действиям APT-группировок или продвинутых хактивистов, о чём свидетельствуют атаки на промышленные предприятия и авиастроительные компании. Кроме того, мы обнаружили четыре новых домена, связанных с CapFix, которые на данный момент неактивны. Мы предполагаем, что хакеры продолжат свою активность и, возможно, расширят масштаб операций», — отмечает Александр Бадаев, специалист группы киберразведки экспертного центра безопасности PT.
Безопасники продолжают отслеживать деятельность группировки и призывают организации усилить меры защиты от целевых атак. Особое внимание следует уделить многоуровневой защите корпоративного почтового сервиса. Рекомендуется своевременно обновлять ПО, обучать сотрудников распознавать фишинговые письма, а также внедрять решения для обнаружения аномальной активности в сети.
.jpg)
.jpg)
.png)