Эту тактику использовала хакерская группировка PhantomCore, как ее называют в F6. ИБ-специалисты обнаружили группу в 2024 году и сейчас дают ей характеристику «одной из главных киберугроз для российских и белорусских компаний». Эти хакеры сами создают вредоносное ПО, а их способы его доставки — «нестандартные».
Их фишинговые письма шли с фейкового почтового адреса МИД и уведомляли о якобы визите делегации КНДР в апреле 2026 года на «отечественное предприятие» для «ознакомления с действующими производственными технологиями».
К письмам был прикреплен файл, выступающий в роли приманки, в виде документа МИД «о порядке организации и проведения визита делегации КНДР на отечественное предприятие», а также другой документ — якобы письмо главе предприятия.
«При запуске этих файлов происходит заражение компьютера пользователя трояном удаленного доступа, который позволяет злоумышленникам собирать информацию о зараженной системе, похищать из нее файлы и выполнять различные команды», — предупреждают в F6. В компании не называют организации, по которым проводилась хакерская рассылка, но поясняют, что те были из промышленности.
