Merlin, приятель Loki: еще один агент для Mythic атакует российские компании

В январе 2025 года к нам обратились с просьбой оценить опасность одной подозрительной ссылки из письма. Письмо было адресовано отделу кадров машиностроительного завода, а его авторы — якобы отдел кадров другой компании — просили дать характеристику на бывшего сотрудника.

Текст подозрительного письма

Когда мы получили письмо, ссылка уже была недействительна. Однако мы обнаружили вредоносную активность на другом связанном поддомене: files.gkrzn[.]ru. По адресу hxxps://files.gkrzn[.]ru/direct/1baf2d23-5f3a-4f79-8575-22e10726570f/e226ebbd/Резюме_ЗелибРВ.rar мы нашли архив с вредоносными файлами и полагаем, что ссылка из письма могла вести на этот или другой подобный архив.

Внутри Резюме_ЗелибРВ.rar был еще один архив Резюме.rar со следующим содержимым:

Если пользователь откроет файл Rez_ZelibRV.lnk, то запустится прописанная в нем команда с установленной рабочей директорией C:\Users\Public\Libraries, в которую при распаковке сохраняется содержимое архива.

Эта команда, в свою очередь, запускает файл 20.ps1, который содержит следующий скрипт:

Скрипт делает две вещи:

• переименовывает файл 3(1).jpg в Rez_ZelibRV.pdf и открывает его;
• запускает бэкдор Merlin из файла 19.jpg, используя технику непрямого запуска через утилиту conhost с параметром —headless.

Файл Rez_ZelibRV.pdf — это документ-приманка, который содержит резюме предполагаемого соискателя, претендующего на руководящую должность.

Документ-приманка

Агент Merlin

Merlin — это постэксплуатационный инструмент с открытым исходным кодом. Он написан на языке Go и может быть скомпилирован для операционных систем Windows, Linux и macOS. Также Merlin может взаимодействовать с сервером по протоколам HTTP/1.1, HTTP/2 и HTTP/3 (комбинации HTTP/2 с протоколом QUIC).

Обнаруженный нами агент был скомпилирован со следующими настройками:

После запуска бэкдор связывается с командным центром — в рассмотренном образце он расположен на домене yuristconsultant[.]ru. Коммуникация с C&C шифруется при помощи алгоритма AES с ключом из поля конфигурации main.psk, где он содержится в закодированном в base64 виде.

Трафик после шифрования AES и base64

После установления контакта бэкдор отправляет на сервер данные о системе: IP-адрес, версию ОС, имя хоста и имя пользователя, архитектуру процессора, а также информацию о процессе, в котором запущен Merlin.

Пример отправляемых данных до шифрования

Одна из особенностей Merlin — совместимость с фреймворком Mythic, о котором мы уже упоминали в статье об агенте Loki. Более того, мы обнаружили связь между атаками этих двух бэкдоров. Так, например, один из экземпляров Merlin, попавших к нам в обработку, — с хэш-суммой 6B16D1C2D6D749C8B0E7671E9B347791 и командным центром mail.gkrzn[.]ru — загружал в систему жертвы образец Loki новой версии 2.0 (124D2CB81A7E53E35CC8F66F0286ADA8) с командным центром pop3.gkrzn[.]ru.

Вторая версия Loki, как и первая, передает на сервер различные данные о системе и своей сборке, однако теперь этот набор немного расширился. Если первая версия отправляла идентификатор агента, внутренний IP-адрес, версию операционной системы, название компьютера и путь к файлу агента, то во второй версии к ним добавилось поле с именем пользователя.

Пример данных, которые отправляет Loki версии 1.0, до шифрования

Пример данных, которые отправляет Loki версии 2.0, до шифрования

Дополнительно — возможно, для усложнения идентификации семейства — авторы решили изменить метод отправки данных на командный сервер. Если в первой версии данные передавались через POST-запрос, то в новой версии для этого используется метод GET.

Пример POST-запроса, Loki версии 1.0

Пример GET-запроса, Loki версии 2.0

Атрибуция

На момент исследования данных о вредоносной активности Merlin и Loki и ее конечных целях все еще недостаточно, чтобы приписать кампанию какой-либо известной группе, поэтому мы решили дать атакующим отдельное название — Mythic Likho.

Жертвы и распространение

Как и в случае с Loki, с атаками Merlin столкнулись более десятка российских компаний из различных отраслей — начиная с компаний, занимающихся поставками телекоммуникационного оборудования, и заканчивая промышленными предприятиями. Предположительная цель злоумышленников — сбор конфиденциальной информации.

Заключение

Mythic Likho — одна из групп злоумышленников, которые атакуют российские компании. Ее характерная особенность — использование фреймворка Mythic и кастомных агентов для него. При этом злоумышленники стараются избегать шаблонов: хотя зловреды распространяются через письма, тексты этих писем могут меняться, как и последующая цепочка заражения.

Подобная гибкость повышает шанс успешной атаки группы на выбранные цели. Чтобы оставаться в безопасности, организациям необходимо использовать комплексное решение, обеспечивающее непрерывную защиту корпоративных ресурсов даже в условиях меняющихся угроз.

Индикаторы компрометации

Merlin
6B16D1C2D6D749C8B0E7671E9B347791
DED148A5A34E1D50F2CD6C9685BF28E8

Loki
124D2CB81A7E53E35CC8F66F0286ADA8

Адреса C2 Merlin:
hxxps://mail.gkrzn[.]ru:443/data
hxxps://yuristconsultant[.]ru:443/data_query

Адреса C2 Loki:
hxxps://pop3.gkrzn[.]ru/data