В середине 2025 года была раскрыта кибершпионская кампания под кодовым названием Operation CargoTalon, нацеленная на предприятия российской авиационно-оборонной отрасли, включая Воронежское акционерное самолётостроительное общество (ВАСО). За операцией стоит ранее не известная группировка, обозначаемая как UNG0901 (Unknown Group 901).
Сборочный цех ПАО «ВАСО», источник ИА РегнумОсновные детали атаки
Атака начинается с рассылки фишинговых писем, замаскированных под уведомления о доставке грузов. В письме содержится ZIP-архив с вредоносным LNK-файлом, который:
активирует PowerShell, открывает поддельный Excel-документ и одновременно устанавливает backdoor — кастомный DLL под названием EAGLET;
приманка (Excel-файл) содержит ссылки на реальные логистические компании, например, Obltransterminal, попавшую под санкции в 2024 году, что повышает достоверность письма;
EAGLET собирает информацию о системе и связывается с C2-сервером по IP 185.225.17[.]104;
взаимодействие с C2 происходит через HTTP и включает получение и выполнение удалённых команд.
Имплант не использует типовые уязвимости, а делает ставку на социальную инженерию и малозаметную доставку вредоносного ПО. В применяемых тактиках чётко прослеживаются элементы из MITRE ATT&CK, включая:
T1059.001 — выполнение через PowerShell;
T1566.001 — фишинг с вложениями;
T1036 — маскировка;
T1082 — сбор информации о системе;
T1482 — анализ доверенных доменов;
T1041 — эксфильтрация через C2-каналы;
T1537 — передача данных в облачные хранилища.
Вектор угроз и сходства с другими группировками
По мнению аналитиков, CargoTalon может иметь технологическое родство с известными российскими киберструктурами, например, с группой Head Mare. Несмотря на то, что основная цель — российские организации, вектор выглядит схожим с тактикой группы 26165 (GRU), использующей:
брутфорс;
эксплуатацию уязвимостей;
доступ к корпоративным почтовым ящикам для разведки и эксфильтрации.
Защита и рекомендации
Эксперты по кибербезопасности рекомендуют:
усиливать мониторинг попыток доставки ZIP/LNK-файлов;
активировать подробное логирование PowerShell;
отслеживать соединения с подозрительными IP-адресами (например, упомянутый C2);
после инцидента — менять ключи и проводить форензику даже в случае успешной установки патча.
Источники: The Hacker News • Radar by Offseq • CISA Advisory • Cybersecurity News • Доклад Минобороны США (PDF)
Update: Исправлена опечатка в заголовке.
Источник: habr.com