Исследователи «Лаборатории Касперского» зафиксировали очередную волну атак кибергруппы Head Mare, которая пришлась на лето 2025 года. В отличие от мартовских кампаний злоумышленники значительно усложнили свой инструментарий — теперь они не ограничиваются одним бэкдором, а выстраивают целую цепочку из нескольких компонентов.
Первым этапом заражения остаётся традиционный фишинг, когда пользователи получают письмо с вложением в формате polyglot, объединяющем DLL-библиотеку PhantomRemote, документ-приманку Excel и архив.
При запуске вложение активирует PowerShell-скрипт, который загружает DLL в память через rundll32 и отвлекает жертву демонстрацией таблицы. PhantomRemote подключается к командному серверу, маскируя трафик под легитимные сервисы вроде YandexUpdate или MicrosoftAppStore, и выполняет команды операторов: от сбора сетевых сведений до загрузки новых модулей.
Ретроспективный анализ показал, что злоумышленники применяли модифицированные версии PhantomRemote с разными рабочими директориями и адресами C2. Дальше в систему доставлялись дополнительные бэкдоры PhantomCSLoader и PhantomSAgent. Первый написан на C# и использует классический polling для получения команд, второй реализован на PowerShell и закрепляется в системе через скрытый VBS-загрузчик и задачу по расписанию, рассчитанную на 27 лет работы. Оба компонента поддерживают выполнение произвольных команд, загрузку файлов и передачу результатов оператору.
В ряде случаев специалисты обнаружили также обратные SSH-туннели, которые позволяли Head Mare закрепляться в инфраструктуре и поддерживать устойчивый удалённый доступ. Такая комбинация инструментов, написанных на разных языках и использующих различные механизмы связи, заметно повышает живучесть атак — даже при детектировании одного из компонентов другие продолжают функционировать.
По данным «Лаборатории Касперского», кампания затронула в основном организации в России, но атаки были зафиксированы и в Беларуси. Инциденты наблюдались вплоть до августа 2025 года. При этом продукты компании детектируют всю цепочку инструментов Head Mare и способны блокировать их активность на ранних этапах заражения.