Хакеры PhantomCore атакуют заводы письмами о визите из КНДР

Группировка PhantomCore начала рассылать российским промышленным предприятиям фальшивые письма от имени МИД. В сообщениях говорится о подготовке визита северокорейской делегации в 2026 году, однако вложения содержат троян для скрытого управления компьютерами и кражи данных. Специалисты F6 называют группу одной из главных угроз года.

Злоумышленники используют нестандартные сценарии социальной инженерии, чтобы заставить сотрудников открыть вредоносные файлы. В последней кампании они подделали официальный адрес министерства и составили легенду о проверке производственных технологий иностранными гостями. К письмам прилагались документы, якобы регламентирующие порядок приема делегации.

При попытке открыть их на устройство тайно устанавливается вирус удаленного доступа. Программа позволяет преступникам не только копировать конфиденциальные файлы, но и выполнять произвольные команды в системе. По данным экспертов, основной целью атаки стали представители промышленного сектора, чьи разработки представляют интерес для шпионажа. PhantomCore самостоятельно создает вредоносное ПО и ориентируется на компании в России и Беларуси.