Хакерське угруповання з Китаю, відоме як Warp Panda, привернуло увагу дослідників Trellix через цілеспрямовані атаки на інфраструктуру VMware. Ключовим інструментом кампанії стало шкідливе ПЗ BrickStorm — бекдор, спеціально адаптований для Linux-середовищ. Ці атаки орієнтовані на критичні компоненти віртуалізації, що робить їх особливо небезпечними для компаній, які покладаються на VMware як основу своєї ІТ-інфраструктури.

BrickStorm дозволяє зловмисникам закріплюватися в системі, виконувати команди віддалено та залишатися малопомітними протягом тривалого часу. Кампанія характеризується високим рівнем підготовки та чітким інтересом до інфраструктурних цілей, а не до окремих кінцевих користувачів.

Цей інцидент ще раз підкреслює, що віртуалізація давно стала повноцінною мішенню для APT-угруповань. Захист VMware-середовищ більше не можна розглядати як другорядне завдання. Регулярний моніторинг, оновлення та поведінковий аналіз — це те, на що варто звертати увагу, особливо в період святкового простою, коли реагування на інциденти може бути сповільненим.

CVE‑2025‑55182, що отримала робочу назву React2Shell, — це критична вразливість з максимальною оцінкою серйозності (CVSS 10.0). Вона дозволяє зловмисникам виконувати довільний код на сервері без автентифікації через небезпечну десеріалізацію даних у React Server Components (RSC).

Уразливість впливає на React версій 19.0.0, 19.1.0, 19.1.1 та 19.2.0, а також на будь‑які фреймворки, що інтегрують RSC, включно з Next.js. Ця прогалина виникає на рівні обробки Flight-протоколу, де сервер некоректно перевіряє структуровані дані, що надходять.

Після публічного розкриття 3 грудня 2025 року активність загроз у світі почалася майже одразу. Компанії стикнулись з цілою добіркою шкідливої активності: широкомасштабні сканування, активні спроби RCE та проникнення до середовищ із встановленням бекдорів, криптомайнерів та інших допоміжних інструментів для подальшого контролю системи.

React2Shell показала, як швидко критичні вразливості можуть стати експлуатованими в дикому середовищі одразу після розкриття. Через широку популярність React і пов’язаних фреймворків проблема стосується не лише окремих застосунків, а й великої частини сучасних вебсервісів. Операторам важливо негайно оновити залежності до патч-версій і переглянути політики захисту API‑шляхів, щоб зменшити ризики несанкціонованого доступу та серйозних наслідків для бізнес‑середовищ.

Ботнет V3G4, який раніше асоціювали з родиною Mirai й традиційно використовували для розподілених атак типу denial of service, продемонстрував еволюцію своїх функцій на користь фінансової вигоди.

У грудні 2025 року дослідники Trellix помітили, що оператори цього ботнету не лише продовжують масштабні DDoS‑атаки, а й впровадили прихований механізм криптомайнінгу на базі XMRig.

Що означає такий «гібрид»? Те, що тепер зловмисники можуть одночасно інтенсивно навантажувати мережеві ресурси та невидимо використовувати обчислювальні потужності заражених хостів для видобування Monero — криптовалюти з відкритим кодом, яка фокусується на повній анонімності.

Зараження починається з мультиархітектурного скрипту‑завантажувача, що визначає платформу (x86_64, ARM або MIPS) і доставляє відповідний виконуваний модуль. Потім шкідливий процес маскується під легітимний системний сервіс, проводить широкомасштабне SSH‑сканування та встановлює стабільний зв’язок із серверами управління (C2). На фінальному етапі бот створює криптомайнер, що працює в оперативній пам’яті, уникаючи запису на диск і ускладнюючи виявлення.

Еволюція V3G4 показує, як сучасні ботнети рухаються від «шумних» DDoS‑атак до «тихої» монетизації ресурсів жертви. Подібний підхід ускладнює виявлення інцидентів і підсилює ризики для корпоративних Linux‑середовищ, IoT‑обладнання та серверних ферм.

Радимо командам з безпеки звернути увагу не лише на аномальний мережевий трафік, а й на неприродний рівень використання процесора та пам’яті на системах, що може бути ознакою прихованого майнінгу.

У сезон інтенсивних розпродажів кіберзлочинці підклали під ялинку «подарунок» як покупцям, так і брендам: мережа фальшивих онлайн‑магазинів, стилізованих під святкові розпродажі та відомі бренди, зараз активно веде свою діяльність.

Ці сайти маскуються під легітимні торгові платформи з привабливими знижками, таймерами зворотного відліку та «довірчими» значками, але насправді збирають платіжні та персональні дані відвідувачів у своїх підроблених кошиках. Завдяки єдиним шаблонам і схемам фішинг-обладнання, такі підробки можуть масштабно запускатися в різних доменах одночасно.

Дослідники Trellix виявили, що зловмисники створюють і реєструють тисячі тематичних доменів із термінами holiday, Black Friday, Flash Sale та іменами великих брендів, щоб залучати покупців під час святкового сезону. Ці сайти не просто імітують вигляд справжніх магазинів — вони можуть спрямовувати трафік через SEO‑токсичні ланцюжки або платні оголошення, збільшуючи охоплення атак.

Хоча для більшості святковий сезон — пора знижок, треба памʼятати, що це ще й період підвищеного ризику для покупців і брендів. Активність фальшивих магазинів чудово це ілюструє. Компаніям варто підвищити увагу до захисту своїх доменів та репутації і контролювати фішингові кампанії.

Користувачі ж мають перевіряти достовірність адрес та уникати підозрілих пропозицій, які виглядають «занадто добре, щоб бути правдою». Поточні тенденції показують, що кіберзлочинці інвестують у масштабні автоматизовані операції, що працюють на перетягування уваги й грошей зі святкового трафіку.

Шкідливе програмне забезпечення Water Saci демонструє новий рівень витонченості. Тепер воно використовує штучний інтелект для автоматизації та оптимізації атак на користувачів WhatsApp. Алгоритми аналізують поведінку цільових акаунтів, підбирають оптимальний час надсилання повідомлень і навіть модифікують тексти, щоб збільшити ймовірність взаємодії. У результаті, ця технологія дозволяє зловмисникам ефективніше поширювати фішингові посилання, завантажувачі шкідливих файлів і фінансові схеми, роблячи атаки більш персоналізованими та складними для виявлення.

Water Saci показує, що поєднання традиційного шкідливого ПЗ зі штучним інтелектом створює новий клас кіберзагроз — швидких, адаптивних і непомітних. Користувачам WhatsApp варто бути особливо уважними до повідомлень від невідомих контактів, перевіряти посилання перед відкриванням і використовувати багаторівневий захист. Памʼятаймо й про антивірусні рішення та обмеження доступу для підозрілих файлів.

ШІ‑підсилені атаки стають реальною проблемою кібербезпеки, і відсутність обережності може коштувати користувачам особистих даних і фінансів.

Групи QuietCrabs і Thor продовжують операції у рамках стратегічних кібератак, націлюючись на державні та комерційні організації в росії. Trellix виявила, що обидві групи використовують комбінацію шкідливих інструментів, включно з бекдорами та RAT‑модулем (Remote Access Trojan), для отримання довготривалого доступу до мереж. Атаки мають високий рівень кастомізації: інструменти підлаштовуються під конкретну інфраструктуру жертви, що ускладнює виявлення та реагування.

Водночас активність груп демонструє стратегічний підхід: сканування мереж, визначення ключових вузлів і поступове нарощування прав користувачів. Цільові організації стикаються не лише з витоком даних, а й з ризиком порушення працездатності критично важливих систем.

Цей інцидент показує, що сучасні APT‑угруповання працюють не хаотично, а стратегічно, обираючи конкретні регіони та індустрії. Тому організації мають постійно моніторити мережеві активності, сегментувати інфраструктуру та впроваджувати інструменти раннього виявлення підозрілих дій, аби мінімізувати наслідки проникнень.

Дослідники Trellix виявили серію атак із використанням Evilginx SSO, орієнтованих на університетські середовища США. Шкідливий інструмент працює як проксі для фішингу одноразових сесій (Single Sign-On), що дозволяє зловмисникам перехоплювати токени доступу без потреби у введенні пароля. Такий підхід ускладнює виявлення атак традиційними методами, оскільки жертви не підозрюють про компрометацію власних облікових записів.

Атаки були націлені на університетські системи електронної пошти, освітні платформи та сервіси для дистанційного навчання. Зловмисники використовували фальшиві сторінки автентифікації, які точно імітують SSO-портали, що дозволяє збирати токени доступу та отримувати довготривалий контроль над акаунтами.

Evilginx SSO демонструє, як сучасні фішингові кампанії адаптуються до популярних механізмів автентифікації. Для університетів критично важливо впроваджувати багатофакторну автентифікацію, постійно моніторити підозрілі сесії та навчати студентів і співробітників розпізнавати фішингові підробки. Атаки на SSO-системи показують, що навіть безпечні, здавалось би, механізми доступу можуть стати мішенню для кіберзлочинців.

Дослідники Trellix виявили новий шкідливий пакувальник TangleCrypt, основна мета якого — приховати інструменти для нейтралізації EDR‑рішень (так звані EDR Killers).

TangleCrypt використовує багаторівневе шифрування та обфускацію, щоб ускладнити статичний і динамічний аналіз шкідливого коду. Після розпакування в пам’яті він активує модулі, спрямовані на вимикання або обхід засобів захисту кінцевих точок, відкриваючи шлях для подальших етапів атаки.

Результат цього підходу — зловмисники можуть значно підвищити шанси шкідливого ПЗ на виживання в інфраструктурі жертви та знизити ймовірність раннього виявлення інциденту.

Поява TangleCrypt підкреслює тривожну тенденцію: атаки все частіше починаються саме з нейтралізації захисних механізмів. Організаціям варто робити ставку на багаторівневу безпеку, поведінковий аналіз і постійний моніторинг систем, а не покладатися лише на класичні сигнатурні методи. А у святковий період, коли реагування може бути повільнішим, такі атаки становлять особливо серйозну загрозу.

Дослідники Trellix зафіксували багатоступеневий ланцюжок атак, у якому JavaScript використовується як основний механізм доставлення NetSupport RAT. Атака починається з, на перший погляд, нешкідливих скриптів, які поступово підвантажують додаткові компоненти, перевіряють середовище виконання та лише після цього доставляють фінальне шкідливе навантаження. Така поетапна модель дозволяє обходити базові засоби захисту й ускладнює аналіз, оскільки жоден окремий етап не виглядає критично небезпечним сам по собі.

NetSupport RAT надає зловмисникам повноцінний віддалений контроль над зараженою системою: керування файлами, запис натискань клавіш, створення скриншотів і запуск додаткових інструментів. Це робить атаку зручною платформою для подальших шпигунських або фінансово мотивованих операцій.

Кейс зайвий раз нагадує, наскільки небезпечними можуть бути багатоступеневі атаки, що маскуються під звичайну вебактивність. Організаціям варто приділяти увагу не лише фінальному payload, а й поведінці скриптів на ранніх етапах, використовуючи поведінковий аналіз і контроль виконання JavaScript‑коду. В іншому випадку навіть «звичайний» скрипт може стати першим кроком до повного компрометування системи.

APT-угруповання Calisto було викрито під час фішингової кампанії, спрямованої проти організації Reporters Without Borders. За даними дослідників Trellix, зловмисники використовували ретельно підготовані фішингові листи, які імітували легітимну службову комунікацію та були адаптовані під контекст діяльності організації. Основна мета кампанії — компрометація облікових даних і подальший доступ до внутрішніх ресурсів та комунікацій.

Особливістю атаки стала висока якість соціальної інженерії: тексти листів, вкладення та домени виглядали переконливо й не викликали миттєвих підозр. Це типовий почерк APT-груп, які працюють не на масовість, а на точність і довготривалий доступ.

Який висновок робимо з цього інциденту? Фішинг залишається одним із найефективніших інструментів в арсеналі APT-угруповань, особливо коли йдеться про організації з високою суспільною значущістю.

Захист таких структур потребує не лише технічних рішень, а й постійного навчання співробітників, контролю доменів і аналізу контексту електронної комунікації. Адже навіть один успішний лист може стати точкою входу для масштабнішої операції.

Усі ці інциденти, зафіксовані командою з дослідження загроз Trellix, мають спільну рису: атаки стають більш цілеспрямованими й технологічно витонченими. Зловмисники активно використовують багатоступеневі ланцюжки, соціальну інженерію, вразливості популярних платформ та штучний інтелект, щоб обходити захист і залишатися непоміченими якомога довше.

У 2025 році стало зрозуміло, що кібербезпека більше не обмежується захистом кінцевих точок або реагуванням на інциденти постфактум. Справжня стійкість полягає в проактивному підході: зараз важливі розуміння актуального ландшафту загроз та готовність діяти ще до того, як потенційна атака стане реальним інцидентом.

Якщо ви хочете зрозуміти, які з цих загроз є найбільш релевантними саме для вашого бізнесу та побудувати ефективну стратегію кіберзахисту разом із рішеннями Trellix — залиште заявку на консультацію.