Кампания Head Mare с бэкдором PhantomPxPigeon и зараженными установочными файлами ПО TrueConf

В феврале 2026 года нами была обнаружена вредоносная кампания группировки Head Mare, нацеленная на образовательные и научные учреждения, а также  организации  энергетического сектора в России. Кампания была активна как минимум с декабря 2025 года. Жертвы получали ссылку — приглашение на видеоконференцию. После перехода по ссылке пользователю предлагалось установить сервис для подключения к видеозвонку. В процессе установки происходило заражение системы — на устройство устанавливался ранее неизвестный бэкдор, который мы назвали PhantomPxPigeon.

В  настоящее время мы наблюдаем новую волну схожей активности, в частности мы обнаружили целый ряд скомпрометированных серверов TrueConf у различных организаций из области транспорта, а также у научных и образовательных учреждений. Дистрибутивы клиентского приложения TrueConf, которое скачивается с этих серверов, были подменены на вредоносные. Таким образом могли быть скомпрометированы другие организации, сотрудники которых могли установить вредоносные версии клиентского приложения.

Вектор атаки, приводящий к подмене клиентского приложения на текущий момент не известен, но злоумышленники предположительно могли использовать уже известную уязвимость BDU:2025-10116, которая была выявлена исследователями и исправлена вендором в августе 2025 года. В связи с этим мы рекомендуем всем организациям, использующим ПО TrueConf, установить актуальную версию сервера в соответствии с рекомендациями вендора.

Также мы рекомендуем убедиться, что клиентские дистрибутивы, загружающиеся с сервера TrueConf, используемого в организации, имеют действительную цифровую подпись TrueConf и не подменены. Обнаруженные нами вредоносные дистрибутивы не имеют действительной цифровой подписи. Проверить подлинность можно также на сайте производителя.

Решения «Лаборатории Касперского» обнаруживают и блокируют вредоносные инсталляторы. В рамках сервиса Kaspersky Managed Detection and Response вредоносная активность также обнаруживается.

Индикаторы компрометации

Зараженные установочные файлы TrueConf

a92a9b9258091aa47e770d4dea7a19a3

3af8b18ca909072dd08b8603105593fe

51b2e4bb58e7d31101cbb389fda5ea34

419E57227AFFBED899E7E8388995B956

6ff6b3b56602451486ec46aaf3baf50f

1561054283df80dade88b6366f6a94b2

Вредоносная нагрузка

bcf39d3ed3110fa2b1c13bb1192a4d31

577713df800f6ac690cb2189a4b036e9

2e0be66779b6fbd103f525e6e773a3b8

b83c970bb871b56ed6746c757700d92e

8a1e4537ff319920602a2642083eb2ab

5c82f1363fd8805875eb2a9c3d0a5dec

C2:

ironshieldsecurity[.]space

primeinfosec[.]space