«ТЗ на согласование» и фальшивый «Яндекс»: Как устроена новая волна кибератак на компании в РФ
NewsMakerГруппировка PhantomCore снова начала масштабную атаку на российский бизнес.
Аналитики F6 обнаружили новую волну вредоносных рассылок от группировки PhantomCore. 19 и 21 января 2026 года специалисты зафиксировали масштабную рассылку, направленную на электронные адреса российских компаний из сфер ЖКХ, финансов, городской инфраструктуры и муниципальных услуг, аэрокосмической отрасли, потребительских цифровых сервисов, химической промышленности, строительства, производства потребительских товаров, а также электронной коммерции и маркетплейсов.
PhantomCore — группа, атакующая российские и белорусские компании с 2022 года, впервые обнаруженная специалистами F6 в 2024 году. Группа получила такое название как сумма слов Phantom и Core. Phantom — поскольку в инструменте на .NET был неймспейс у классов «Phantom». Core — поскольку злоумышленники в запланированных задачах использовали имя MicrosoftStatisticCore.
Письма приходили с темой «ТЗ на согласование». Вложение «ТЗ на согласование сб 54 от 19.01.26.zip» содержало два файла: LNK-файл и документ с расширением .doc. При этом файл с расширением .doc на самом деле не является подлинным документом — это RAR-архив, содержащий одноименную директорию с файлами, относящимися к действительному документу.
Использование атакующими легитимных адресов электронной почты для рассылок может указывать на их компрометацию. Среди доменов отправителей были npocable-s.ru, satnet-spb.ru, nppntt.ru, tk-luch.ru и skbkp.tarusa.ru.
Аналитики F6 обнаружили новую волну вредоносных рассылок от группировки PhantomCore. 19 и 21 января 2026 года специалисты зафиксировали масштабную рассылку, направленную на электронные адреса российских компаний из сфер ЖКХ, финансов, городской инфраструктуры и муниципальных услуг, аэрокосмической отрасли, потребительских цифровых сервисов, химической промышленности, строительства, производства потребительских товаров, а также электронной коммерции и маркетплейсов.
PhantomCore — группа, атакующая российские и белорусские компании с 2022 года, впервые обнаруженная специалистами F6 в 2024 году. Группа получила такое название как сумма слов Phantom и Core. Phantom — поскольку в инструменте на .NET был неймспейс у классов «Phantom». Core — поскольку злоумышленники в запланированных задачах использовали имя MicrosoftStatisticCore.
Письма приходили с темой «ТЗ на согласование». Вложение «ТЗ на согласование сб 54 от 19.01.26.zip» содержало два файла: LNK-файл и документ с расширением .doc. При этом файл с расширением .doc на самом деле не является подлинным документом — это RAR-архив, содержащий одноименную директорию с файлами, относящимися к действительному документу.
Использование атакующими легитимных адресов электронной почты для рассылок может указывать на их компрометацию. Среди доменов отправителей были npocable-s.ru, satnet-spb.ru, nppntt.ru, tk-luch.ru и skbkp.tarusa.ru.