Группировка Geo Likho за относительно сжатый срок развернула масштабную кампанию кибершпионажа и нанесла более 200 ударов по организациям в России, стараясь как можно дольше не попадаться на глаза защитным системам внутри инфраструктуры жертв. Деятельность группы тянется около 7 месяцев и носит избирательный характер с прицелом на российский сегмент. Об этом рассказали в «Лаборатории Касперского», чьи данные приводит ТАСС.
Эксперт по кибербезопасности «Лаборатории Касперского» Алексей Шульмин обратил внимание на высокий уровень подготовки группировки и её чёткую географическую привязку. За упомянутый отрезок времени специалисты насчитали более 200 атак по России, а эпизоды в Германии, Сербии и Гонконге за 2025 год выглядят скорее побочными совпадениями. Локализация объясняется вполне прозаично, поскольку фишинговые письма и приманки почти всегда верстались на русском языке.
Geo Likho подходит к каждой жертве штучно. Под любой удар преступники собирают уникальные вредоносные инструменты, из-за чего их обнаружение и последующий разбор превращаются в головную боль защитников. Подобный приём развязывает группе руки для подстройки под особенности конкретной инфраструктуры и гасит риски раннего раскрытия хакеров внутри периметра.
Начальный заход в сеть крутится вокруг адресного фишинга. Жертве прилетает письмо со ссылкой на якобы рабочие документы по её профилю деятельности в компании. Клик по адресу запускает скрипт, инициирующий заражение и открывающий дверь внутрь системы. Дальнейшие шаги атакующих нацелены на укоренение в сети и сбор интересующих сведений о компании.
Корпоративные данные составляют основной интерес преступников. Группировка охотится за офисными документами и изображениями, лежащими на локальных устройствах, сетевых ресурсах и флешках сотрудников. В общий котёл уходят журналы системных событий и снимки экранов рабочих станций, помогающие хакерам отслеживать поведение пользователей и разбираться с внутренней кухней организации.
Скрытность превратилась в фирменный почерк Geo Likho. Злоумышленники обходят стороной любую активность, способную выдать их присутствие защитникам, и предпочитают стратегию долгого тихого наблюдения за происходящим. Сведения вытаскиваются наружу мелкими порциями без спешки, что оставляя