1.1.1.1 — версия вашего конца: как бэкдор EchoGather захватил российские компании через обычный Excel
NewsMakerРаньше Excel правил офисами, но в 2025 году одна надстройка превратила его в идеального шпиона.
Формат Excel, который многие привыкли считать безобидным офисным инструментом, всё чаще используется как точка входа для кибератак. Речь идёт об XLL-файлах — специальных надстройках Excel, которые на самом деле являются нативными DLL-библиотеками Windows и могут выполнять произвольный код сразу после загрузки. Именно такой механизм в конце 2025 года использовала кибершпионская группировка Paper Werewolf, атаковавшая российские организации с помощью нового бэкдора.
XLL-файлы злоумышленники начали активно эксплуатировать ещё в конце 2010-х годов, однако особенно популярными они стали после 2021 года, когда этот формат начали массово использовать как APT-группы, так и авторы распространённого вредоносного ПО вроде Agent Tesla и Dridex. В отличие от макросов, которые работают в ограниченной среде Excel и сопровождаются предупреждениями безопасности, XLL загружаются приложением напрямую как скомпилированный код Windows и получают полный доступ к системе. Это делает их более опасными и заметно усложняет обнаружение атак.
В конце октября 2025 года исследователи обнаружили подозрительный XLL-файл, загруженный на VirusTotal . Образцы имели характерные русскоязычные названия — «Плановые цели противника.xll» и «Плановые цели противника НЕ ЗАПУСКАТЬ.xll». Такая подача, по всей видимости, должна была создать иллюзию служебного документа и снизить вероятность запуска защитных механизмов. Внутри XLL находился второй этап атаки — ранее не описанный бэкдор, получивший название EchoGather.
После загрузки надстройки Excel вредоносный код активируется не сразу. Он срабатывает в нетипичный момент — при завершении одного из потоков Excel, что позволяет обойти поведенческие механизмы защиты, ориентированные на ранние стадии выполнения. Затем на компьютер жертвы незаметно выгружается исполняемый файл, который начинает сбор подробной информации о системе и устанавливает связь с сервером управления.
Формат Excel, который многие привыкли считать безобидным офисным инструментом, всё чаще используется как точка входа для кибератак. Речь идёт об XLL-файлах — специальных надстройках Excel, которые на самом деле являются нативными DLL-библиотеками Windows и могут выполнять произвольный код сразу после загрузки. Именно такой механизм в конце 2025 года использовала кибершпионская группировка Paper Werewolf, атаковавшая российские организации с помощью нового бэкдора.
XLL-файлы злоумышленники начали активно эксплуатировать ещё в конце 2010-х годов, однако особенно популярными они стали после 2021 года, когда этот формат начали массово использовать как APT-группы, так и авторы распространённого вредоносного ПО вроде Agent Tesla и Dridex. В отличие от макросов, которые работают в ограниченной среде Excel и сопровождаются предупреждениями безопасности, XLL загружаются приложением напрямую как скомпилированный код Windows и получают полный доступ к системе. Это делает их более опасными и заметно усложняет обнаружение атак.
В конце октября 2025 года исследователи обнаружили подозрительный XLL-файл, загруженный на VirusTotal . Образцы имели характерные русскоязычные названия — «Плановые цели противника.xll» и «Плановые цели противника НЕ ЗАПУСКАТЬ.xll». Такая подача, по всей видимости, должна была создать иллюзию служебного документа и снизить вероятность запуска защитных механизмов. Внутри XLL находился второй этап атаки — ранее не описанный бэкдор, получивший название EchoGather.
После загрузки надстройки Excel вредоносный код активируется не сразу. Он срабатывает в нетипичный момент — при завершении одного из потоков Excel, что позволяет обойти поведенческие механизмы защиты, ориентированные на ранние стадии выполнения. Затем на компьютер жертвы незаметно выгружается исполняемый файл, который начинает сбор подробной информации о системе и устанавливает связь с сервером управления.