«Лаборатория Касперского»: группировка Silver Fox атаковала российские организации с использованием новых инструментов

Эксперты «Лаборатории Касперского» проанализировали новую волну кибератак группировки Silver Fox, обнаруженную в январе 2026 г. Кампания затронула российские организации, в частности из сфер промышленности, консалтинга, торговли и транспорта. Жертвы получали вредоносные электронные рассылки, замаскированные под официальные уведомления от налоговой службы. С начала января по начало февраля было зафиксировано более 1,6 тыс. подобных писем. Злоумышленники обновили инструментарий: использовали ранее неизвестные загрузчики и Python-бэкдор, который исследователи назвали ABCDoor. В случае заражения атакующие могли получить удалённый доступ к устройствам и красть конфиденциальные данные организации.

Ранее Silver Fox атаковала предприятия в Азии из таких отраслей, как телекоммуникации, энергетика, логистика, финансы. В конце 2025 г. группировка впервые обратила внимание на российские компании.

Старая легенда — новые методы. Жертвам приходит письмо якобы от налоговой службы, которая, как уверяют злоумышленники, обнаружила у организации серьёзные «нарушения». Похожая легенда уже встречалась в декабре 2025 г., однако в январе 2026 года группа обновила схему. Например, вместо вредоносного архива атакующие теперь прикрепляют к письмам PDF-документ, внутри которого содержатся ссылки для его скачивания. Это уловка используется для того, чтобы попытаться обойти защитные почтовые фильтры и заразить компьютер жертвы.

Новый бэкдор ABCDoor. В январской кампании злоумышленники расширили инструментарий: через уже известный бэкдор ValleyRAT, который ранее использовался в атаках, они запускали ABCDoor — новый бэкдор, написанный на языке программирования Python. Он позволяет удалённо управлять системой, записывать нажатия клавиш, загружать и скачивать файлы, транслировать одновременно несколько экранов жертвы в близком к реальному времени, получать доступ к буферу обмена, а также обновлять себя. Кроме того, для загрузки ValleyRAT использовалась модифицированная, ранее неизвестная версия RustSL: злоумышленники впервые применили её в конце декабря 2025 г.

«Социальная инженерия сыграла ключевую роль в данной кампании — группировка воспользовались тем, что люди обычно доверяют уведомлениям от официальных ведомств, например от налоговой службы. При этом Silver Fox применила многоступенчатый подход к доставке основной вредоносной нагрузки, а также задействовала разные адреса и домены. Это повышает опасность подобных атак, поскольку такой метод позволяет злоумышленникам минимизировать риск обнаружения и блокировки всей цепочки атаки», — сказал Антон Каргин, эксперт Kaspersky GReAT (глобального центра исследований и анализа угроз «Лаборатории Касперского»).

Олег Пашинин, «Росатом»: Наша платформа показала более высокую производительность, чем западные аналоги
Цифровизация

Решения «Лаборатории Касперского» защищают от данной угрозы и детектируют вредоносное ПО как: Trojan-Spy.Win64.Pycl.a, Trojan-Downloader.Script.Generic, Trojan.Win32.RSL, Trojan.Win32.Agentb, Trojan.Win32.Injuke, Backdoor.Win32.Xkcp, Trojan-Downloader.Win32.Agent.

Для защиты от подобных атак «Лаборатория Касперского» также рекомендует: регулярно повышать уровень цифровой грамотности сотрудников. В этом помогут специализированные курсы или тренинги, например, Kaspersky Automated Security Awareness Platform; использовать решение, которое будет автоматически блокировать подозрительные письма, проверять запароленные архивы и использовать технологию CDR, такое как Kaspersky Security для почтовых серверов в расширенной версии KSMS Plus; предоставлять ИБ-специалистам доступ к данным о киберугрозах, например, через Threat Intelligence, чтобы оставаться в курсе актуальных техник, тактик и процедур злоумышленников; использовать комплексные продукты, которые позволят выстроить гибкую и систему безопасности, включая обеспечение надёжной защиты рабочих мест, сбор и анализ данных о событиях безопасности со всех источников в инфраструктуре, выявление и остановку атак любой сложности на ранних стадиях и обучение сотрудников базовым навыкам цифровой грамотности. Комбинации таких решений под потребности компании любого масштаба содержатся в линейке продуктов для защиты бизнеса Kaspersky Symphony.

