Хактивисты Head Mare используют новый вредонос PhantomHeart

В конце 2025 года аналитики Cyber Threat Intelligence из «Лаборатории Касперского» обнаружили новую волну целевых кибератак хактивистов Head Mare — на российские государственные структуры, строительные и промышленные предприятия. Группировка продолжает перестраивать свой инструментарий и цепочки атак. Ключевой находкой стал новый бэкдор PhantomHeart, который изначально распространялся в виде DLL-библиотеки, а позднее был переработан в PowerShell-скрипт. Это отражает стремление Head Mare активнее использовать подход Living-off-the-Land (LOTL), при котором вредоносные действия выполняются через штатные инструменты Windows, уже присутствующие в системе.

Вектор первоначального доступа. В новой кампании он остается неизменным: Head Mare продолжает эксплуатировать старую уязвимость BDU:2025-10114 в программном обеспечении TrueConf Server, а в отдельных случаях по-прежнему использует фишинговые рассылки, сочетая проверенные векторы проникновения с постепенно обновляемым арсеналом.

Новый бэкдор — PhantomHeart. Его основная функциональная возможность — развертывание SSH-туннеля по указанию командно-контрольного сервера. В результате оператор получает устойчивый удаленный доступ к скомпрометированной системе, а бэкдор собирает базовую информацию о ней — имя компьютера, домен, внешний IP-адрес и уникальный идентификатор. Отдельного внимания заслуживает обнаруженный механизм закрепления. В одной из атак бэкдор запускался через планировщик заданий под видом легитимного скрипта обновления, размещенного в директории средства удаленного администрирования LiteManager. Это означает, что злоумышленники пытаются замаскировать вредоносную активность под штатную работу легитимного программного обеспечения.

Автоматизация кибератак. Head Mare расширила вспомогательный инструментарий, используемый на этапе постэксплуатации — когда система уже скомпрометирована. Эксперты «Лаборатории Касперского» обнаружили новые утилиты и скрипты, предназначенные для автоматизации типовых задач на уровне хоста, включая закрепление в системе, управление привилегиями и организацию сетевого доступа. Их интеграция в общую цепочку атаки подчеркивает ориентацию Head Mare на автоматизацию, повторяемость и снижение операционной нагрузки на этапе постэксплуатации. Это позволяет группировке проводить большее количество атак и повышать их сложность.

Подробный технический анализ новой активности HeadMare доступен на Securelist. Техники, тактики и процедуры Head Mare и других группировок, представляющих угрозу для России, описаны в аналитическом отчете «Записки цифрового ревизора: три кластера угроз в киберпространстве». 

Для защиты корпоративной инфраструктуры эксперты «Лаборатории Касперского» рекомендуют:

• регулярно обновлять программное обеспечение на всех устройствах, чтобы злоумышленники не смогли воспользоваться уязвимостями и проникнуть в корпоративную сеть;
• применять комплексные защитные решения, которые позволят выстроить гибкую и эффективную систему безопасности;
• обучать сотрудников цифровой грамотности;
• предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников.