ZIP-архив и скрытый MSBuild. Из чего состоит новая атака на военных, которую пропустили антивирусы
NewsMakerПока спецслужбы искали сложные вредоносы, шпионы просто вошли через парадную дверь.
Группа взломщиков Patchwork, также известная под названиями Dropping Elephant и Maha Grass, вновь оказалась в центре внимания после серии целевых атак на оборонные структуры Пакистана. В своей последней кампании злоумышленники использовали фишинговые письма с ZIP-архивами, внутри которых скрыт проект MSBuild. При запуске он активирует загрузчик, устанавливающий вредоносное ПО, написанное на Python.
Вредонос может подключаться к удалённому серверу, запускать модули на Python, выполнять команды и обеспечивать обмен файлами. В этой кампании применялись техники тщательной маскировки — от модифицированных сред выполнения до скрытых каналов связи и методов закрепления в системе.
С конца 2025 года за группой закрепилась связь с новым трояном StreamSpy. Эта ранее неизвестная программа использует протоколы WebSocket и HTTP, чтобы разделить управление и передачу файлов. Инструкции от сервера поступают по WebSocket, а файлы перехватываются и отправляются через HTTP.
Анализ , проведённый китайской компанией QiAnXin, показал, что StreamSpy имеет сходство с другим вредоносом под названием Spyder, который, в свою очередь, считается модификацией семейства WarHawk, связанного с группой SideWinder. Использование Spyder группой Patchwork фиксируется с 2023 года.
Группа взломщиков Patchwork, также известная под названиями Dropping Elephant и Maha Grass, вновь оказалась в центре внимания после серии целевых атак на оборонные структуры Пакистана. В своей последней кампании злоумышленники использовали фишинговые письма с ZIP-архивами, внутри которых скрыт проект MSBuild. При запуске он активирует загрузчик, устанавливающий вредоносное ПО, написанное на Python.
Вредонос может подключаться к удалённому серверу, запускать модули на Python, выполнять команды и обеспечивать обмен файлами. В этой кампании применялись техники тщательной маскировки — от модифицированных сред выполнения до скрытых каналов связи и методов закрепления в системе.
С конца 2025 года за группой закрепилась связь с новым трояном StreamSpy. Эта ранее неизвестная программа использует протоколы WebSocket и HTTP, чтобы разделить управление и передачу файлов. Инструкции от сервера поступают по WebSocket, а файлы перехватываются и отправляются через HTTP.
Анализ , проведённый китайской компанией QiAnXin, показал, что StreamSpy имеет сходство с другим вредоносом под названием Spyder, который, в свою очередь, считается модификацией семейства WarHawk, связанного с группой SideWinder. Использование Spyder группой Patchwork фиксируется с 2023 года.