Хакерская группировка из Китая, известная как Warp Panda, привлекла внимание исследователей Trellix из-за целенаправленных атак на инфраструктуру VMware. Ключевым инструментом кампании стало вредоносное ПО BrickStorm — бэкдор, специально адаптированный для Linux-сред. Эти атаки ориентированы на критические компоненты виртуализации, что делает их особенно опасными для компаний, полагающихся на VMware как основу своей IT-инфраструктуры.

BrickStorm позволяет злоумышленникам закрепляться в системе, выполнять команды удаленно и оставаться малозаметными в течение длительного времени. Кампания характеризуется высоким уровнем подготовки и четким интересом к инфраструктурным целям, а не к отдельным конечным пользователям.

Этот инцидент еще раз подчеркивает, что виртуализация давно стала полноценной мишенью для APT-группировок. Защиту VMware-сред больше нельзя рассматривать как второстепенную задачу. Регулярный мониторинг, обновление и поведенческий анализ — это то, на что следует обращать внимание, особенно в период праздничного простоя, когда реагирование на инциденты может быть замедленным.

CVE‑2025‑55182, получившая рабочее название React2Shell, — критическая уязвимость с максимальной оценкой серьезности (CVSS 10.0). Она позволяет злоумышленникам выполнять произвольный код на сервере без аутентификации из-за опасной десериализации данных в React Server Components (RSC).

Уязвимость влияет на React версий 19.0.0, 19.1.0, 19.1.1 и 19.2.0, а также на любые фреймворки, интегрирующие RSC, включая Next.js. Этот пробел возникает на уровне обработки Flight-протокола, где сервер некорректно проверяет поступающие структурированные данные.

После публичного раскрытия 3 декабря 2025 года активность угроз в мире началась почти сразу. Компании столкнулись с целой подборкой вредной активности: широкомасштабное сканирование, активные попытки RCE и проникновение в среду с установкой бэкдоров, криптомайнеров и других вспомогательных инструментов для дальнейшего контроля системы.

React2Shell показала, как быстро критические уязвимости могут стать эксплуатируемыми в дикой среде сразу после раскрытия. Из-за широкой популярности React и связанных фреймворков проблема касается не только отдельных приложений, но и большинства современных веб-сервисов. Операторам важно немедленно обновить зависимости от патч-версий и пересмотреть политику защиты API-путей, чтобы уменьшить риски несанкционированного доступа и серьезных последствий для бизнес-сред.

Ботнет V3G4, который ранее ассоциировался с семьей Mirai и традиционно использовался для распределенных атак типа denial of service, продемонстрировал эволюцию своих функций в пользу финансовой выгоды.

В декабре 2025 года исследователи Trellix заметили, что операторы этого ботнета не только продолжают масштабные DDoS-атаки, но и внедрили скрытый механизм криптомайнинга на базе XMRig.

Что означает такой «гибрид»? То, что теперь злоумышленники могут одновременно интенсивно нагружать сетевые ресурсы и невидимо использовать вычислительные мощности зараженных хостов для добычи Monero — криптовалюты с открытым кодом, которая фокусируется на полной анонимности.

Заражение начинается с мультиархитектурного скрипта загрузчика, который определяет платформу (x86_64, ARM или MIPS) и доставляет соответствующий выполняемый модуль. Затем вредоносный процесс маскируется под легитимный системный сервис, проводит широкомасштабное SSH‑сканирование и устанавливает стабильную связь с серверами управления (C2). На финальном этапе бот создает криптомайнер, работающий в оперативной памяти, избегая записи на диск и усложняя обнаружение.

Эволюция V3G4 показывает, как современные ботнеты двигаются от «шумных» DDoS-атак к «тихой» монетизации ресурсов жертвы. Подобный подход затрудняет выявление инцидентов и усиливает риски для корпоративных Linux-сред, IoT-оборудования и серверных ферм.

Советуем командам безопасности обратить внимание не только на аномальный сетевой трафик, но и на неестественный уровень использования процессора и памяти на системах, что может быть признаком скрытого майнинга.

В сезон интенсивных распродаж киберпреступники подложили под елку «подарок» как покупателям, так и брендам: сеть фальшивых онлайн-магазинов, стилизованных под праздничные распродажи и известные бренды, сейчас активно ведет свою деятельность.

Эти сайты маскируются под легитимные торговые платформы с привлекательными скидками, таймерами обратного отсчета и доверительными значками, но на самом деле собирают платежные и персональные данные посетителей в своих поддельных корзинах. Благодаря единым шаблонам и схемам phishing‑оборудования такие подделки могут масштабно запускаться в разных доменах одновременно.

Исследователи Trellix обнаружили, что злоумышленники создают и регистрируют тысячи тематических доменов с терминами holiday, Black Friday, Flash Sale и именами больших брендов, чтобы привлекать покупателей во время праздничного сезона. Эти сайты не просто имитируют вид настоящих магазинов — они могут направлять трафик через SEO-токсичные цепочки или платные объявления, увеличивая охват атак.

Хотя для большинства праздничный сезон — пора скидок, нужно помнить, что это еще и период повышенного риска для покупателей и брендов. Активность фальшивых магазинов это прекрасно иллюстрирует. Компаниям следует повысить внимание к защите своих доменов и репутации и контролировать фишинговые кампании.

Пользователи же должны проверять действительность адресов и избегать подозрительных предложений, которые выглядят «слишком хорошо, чтобы быть правдой». Текущие тенденции показывают, что киберпреступники инвестируют в масштабные, автоматизированные операции, работающие на перетягивание внимания и денег с праздничного трафика.

Вредоносное ПО Water Saci демонстрирует новый уровень изощренности. Теперь оно использует искусственный интеллект для автоматизации и оптимизации атак на пользователей WhatsApp. Алгоритмы анализируют поведение целевых аккаунтов, подбирают оптимальное время отправки сообщений и даже модифицируют тексты, чтобы увеличить вероятность взаимодействия. В результате эта технология позволяет злоумышленникам более эффективно распространять фишинговые ссылки, загрузчики вредоносных файлов и финансовые схемы, делая атаки более персонализированными и сложными для обнаружения.
Water Saci показывает, что сочетание традиционного вредоносного ПО с искусственным интеллектом создает новый класс киберугроз — быстрых, адаптивных и незаметных. Пользователям WhatsApp следует быть особенно внимательными к сообщениям от неизвестных контактов, проверять ссылки перед открытием и использовать многоуровневую защиту. Помним и об антивирусных решениях и ограничениях доступа для подозрительных файлов.

ИИ-усиленные атаки становятся реальной проблемой кибербезопасности, и отсутствие осторожности может стоить пользователям личных данных и финансов.

Группы QuietCrabs и Thor продолжают операции в рамках стратегических кибератак, нацеливаясь на государственные и коммерческие организации в России. Trellix обнаружила, что обе группы используют комбинацию вредоносных инструментов, включая бэкдоры и RAT-модуль (Remote Access Trojan), для получения длительного доступа к сетям. Атаки обладают высоким уровнем кастомизации: инструменты подстраиваются под конкретную инфраструктуру жертвы, что затрудняет обнаружение и реагирование.

В то же время активность групп демонстрирует стратегический подход: сканирование сетей, определение ключевых узлов и постепенное наращивание прав пользователей. Целевые организации сталкиваются не только с утечкой данных, но и риском нарушения работоспособности критически важных систем.

Этот инцидент показывает, что современные APT-группировки работают не хаотично, а стратегически, выбирая конкретные регионы и индустрии. Поэтому организация должна постоянно мониторить сетевые активности, сегментировать инфраструктуру и внедрять инструменты раннего выявления подозрительных действий, чтобы минимизировать последствия проникновений.

Исследователи Trellix обнаружили серию атак с использованием Evilginx SSO, ориентированных на университетские среды США. Вредоносный инструмент работает как прокси для фишинга одноразовых сессий (Single Sign-On), что позволяет злоумышленникам перехватывать токены доступа без необходимости ввода пароля. Такой подход усложняет выявление атак традиционными методами, поскольку жертвы не подозревают о компрометации собственных аккаунтов.

Атаки были направлены на университетские системы электронной почты, образовательные платформы и сервисы для дистанционного обучения. Злоумышленники использовали фальшивые страницы аутентификации, точно имитирующие SSO-порталы, что позволяет собирать токены доступа и получать длительный контроль над аккаунтами.

Evilginx SSO демонстрирует, как современные фишинговые кампании адаптируются к популярным механизмам аутентификации. Для университетов важно внедрять многофакторную аутентификацию, постоянно мониторить подозрительные сессии и обучать студентов и сотрудников распознавать фишинговые подделки. Атаки на SSO-системы показывают, что даже безопасные, казалось бы, механизмы доступа могут стать мишенью для киберпреступников.

Исследователи Trellix обнаружили новый вредоносный пакет TangleCrypt, основная цель которого — скрыть инструменты для нейтрализации EDR-решений (так называемые EDR Killers).

TangleCrypt использует многоуровневую шифровку и обфускацию, чтобы усложнить статический и динамический анализ вредоносного кода. После распаковки в памяти он активирует модули, направленные на отключение или обход средств защиты конечных точек, открывая путь для дальнейших этапов атаки.

Результат этого подхода — злоумышленники могут значительно повысить шансы вредоносного ПО на выживание в инфраструктуре жертвы и снизить вероятность раннего обнаружения инцидента.

Появление TangleCrypt подчеркивает тревожную тенденцию: атаки все чаще начинаются именно с нейтрализации защитных механизмов. Организации следует делать ставку на многоуровневую безопасность, поведенческий анализ и постоянный мониторинг систем, а не полагаться только на классические сигнатурные методы. А в праздничный период, когда реагирование может быть более медленным, такие атаки представляют особо серьезную угрозу.

Исследователи Trellix зафиксировали многоступенчатую цепочку атак, в которой JavaScript используется как основной механизм доставки NetSupport RAT. Атака начинается с, на первый взгляд, безвредных скриптов, которые постепенно подгружают дополнительные компоненты, проверяют среду выполнения и только после этого доставляют финальную вредную нагрузку. Такая поэтапная модель позволяет обходить базовые средства защиты и усложняет анализ, поскольку ни один отдельный этап не выглядит критически опасным сам по себе.

NetSupport RAT предоставляет злоумышленникам полноценный удаленный контроль над зараженной системой: управление файлами, запись нажатий клавиш, снятие скриншотов и запуск дополнительных инструментов. Это делает атаку удобной платформой для дальнейших шпионских или финансово мотивированных операций.

Кейс лишний раз напоминает, насколько опасны могут быть многоступенчатые атаки, маскирующиеся под обычную веб-активность. Организациям следует уделять внимание не только финальному payload, но и поведению скриптов на ранних этапах, используя поведенческий анализ и контроль выполнения JavaScript-кода. В противном случае даже «обычный» скрипт может стать первым шагом к полному компрометированию системы.

APT-группировка Calisto была разоблачена во время фишинговой кампании, направленной против организации Reporters Without Borders. По данным исследователей Trellix, злоумышленники использовали тщательно подготовленные фишинговые письма, имитирующие легитимную служебную коммуникацию и адаптированные под контекст деятельности организации. Основная цель кампании — компрометация учетных данных и дальнейший доступ к внутренним ресурсам и коммуникациям.

Особенностью атаки стало высокое качество социальной инженерии: тексты писем, вложения и домены выглядели внушительно и не вызывали мгновенных подозрений. Это типичный почерк APT-группировок, работающих не на массовость, а на точность и длительный доступ.

Какой вывод делаем по этому инциденту? Фишинг остается одним из самых эффективных инструментов в арсенале APT-группировок, особенно когда речь идет об организациях с высокой общественной значимостью.

Защита таких структур требует не только технических решений, но и постоянного обучения сотрудников, контроля доменов и анализа контекста электронной коммуникации. Ведь даже одно успешное письмо может стать точкой входа для более масштабной операции.

Все эти инциденты, зафиксированные командой по исследованию угроз Trellix, имеют общую черту: атаки становятся более целенаправленными и технологически изощренными. Злоумышленники активно используют многоступенчатые цепочки, социальную инженерию, уязвимости популярных платформ и искусственный интеллект, чтобы обходить защиту и оставаться незамеченными как можно дольше.

В 2025 году стало понятно, что кибербезопасность больше не ограничивается защитой конечных точек или реагированием на инциденты постфактум. Настоящая устойчивость заключается в проактивном подходе: сейчас важны понимание актуального ландшафта угроз и готовность действовать еще до того, как потенциальная атака станет реальным инцидентом.

Если вы хотите понять, какие из этих угроз наиболее релевантны именно для вашего бизнеса и построить эффективную стратегию киберзащиты вместе с решениями Trellix — оставьте заявку на консультацию.