Кампанія, зафіксована у лютому 2026 року, має спільні риси з попередньою операцією угруповання Laundry Bear (також відомого як UAC-0190 або Void Blizzard), спрямованою проти Сил оборони України з використанням сімейства шкідливого ПЗ під назвою PLUGGYAPE, пише The Hacker News.
Читайте также: Palantir Gotham на мінімалках. Вайбкодер створив безплатний інструмент для геополітичної аналітики в реальному часі
Ця атака «використовує різноманітні приманки на судові та благодійні теми для розгортання бекдора на основі JavaScript, який працює через браузер Edge». Шкідливе програмне забезпечення, що отримало назву DRILLAPP, здатне завантажувати та вивантажувати файли, а також використовувати мікрофон і робити знімки через вебкамеру, експлуатуючи функції веббраузера.
Було ідентифіковано дві різні версії цієї кампанії. Першу ітерацію, виявлену на початку лютого, реалізовано за допомогою Windows-ярлика (LNK-файлу), який створює HTML-застосунок (HTA) у тимчасовій папці. Цей застосунок, своєю чергою, завантажує віддалений скрипт, розміщений на Pastefy — легітимному сервісі для публікації тексту.
Для забезпечення стійкості LNK-файли копіюються в папку автозавантаження Windows, щоб вони автоматично запускалися після перезавантаження системи. Потім ланцюжок атак відображає URL-адресу, що містить приманки, пов’язані з встановленням Starlink або благодійного фонду «Повернись живим».
HTML-файл зрештою виконується через браузер Microsoft Edge в режимі headless, який потім завантажує віддалений обфускований скрипт, розміщений на Pastefy.
Браузер виконується з додатковими параметрами, такими як –no-sandbox, –disable-web-security, –allow-file-access-from-files, –use-fake-ui-for-media-stream, –auto-select-screen-capture-source=true та –disable-user-media-security, що надає йому доступ до локальної файлової системи, а також до камери, мікрофона та знімків екрана без необхідності будь-якої взаємодії з користувачем.
Цей шкідливий файл фактично діє як полегшений бекдор, що забезпечує доступ до файлової системи, а також дозволяє записувати аудіо з мікрофона, відео з камери та робити знімки екрана пристрою — і все це через браузер. Під час першого запуску він також створює «цифровий відбиток» пристрою за допомогою техніки, що називається canvas fingerprinting, і використовує Pastefy як систему для отримання адреси, щоб завантажити WebSocket-URL для зв’язку з сервером керування.
Читайте также: Наприкінці 2025 року глядачі витратили 10 млн грн на перегляд україномовних стрімів на Twitch
Шкідливе ПЗ передає дані відбитка пристрою разом із країною жертви, яка визначається за часовим поясом машини. Він спеціально перевіряє, чи відповідають часові пояси Великій Британії, росії, Німеччині, Франції, Китаю, Японії, США, Бразилії, Індії, Україні, Канаді, Австралії, Італії, Іспанії та Польщі. Якщо це не так, то за замовчуванням використовується час у США.
Другу версію кампанії, помічену наприкінці лютого 2026 року, було реалізовано вже без використання LNK-файлів — замість них зловмисники застосували модулі Панелі керування Windows, проте загальна послідовність інфікування залишилася майже незмінною. Ще однією помітною зміною стало оновлення самого бекдора: тепер він дозволяє виконувати рекурсивне перерахування файлів, пакетне завантаження файлів на сервер та довільне завантаження файлів на пристрій.
«З міркувань безпеки JavaScript не дозволяє віддалене завантаження файлів», — зазначили у LAB52. «Ось чому зловмисники використовують протокол Chrome DevTools Protocol (CDP), внутрішній протокол браузерів на базі Chromium, який можна використовувати лише тоді, коли ввімкнено параметр –remote-debugging-port».
Вважається, що цей бекдор все ще перебуває на початкових етапах розробки. Ранній варіант шкідливого ПЗ, виявлений у відкритому доступі 28 січня 2026 року, лише здійснював обмін даними з доменом «gnome[.]com», замість того щоб завантажувати основний корисний навантажувач із Pastefy.
«Одним з найбільш помітних аспектів є використання браузера для розгортання бекдора, що свідчить про те, що зловмисники досліджують нові способи уникнення виявлення», — додали іспанські кіберфахівці.
«Браузер є вигідним інструментом для такого виду діяльності, оскільки він є звичайним і зазвичай не викликає підозр процесом. Він пропонує розширені можливості, доступні через параметри налагодження, які дозволяють виконувати небезпечні дії, як-от завантаження віддалених файлів. Крім того, він надає легітимний доступ до конфіденційних ресурсів, таких як мікрофон, камера або запис екрана, не викликаючи миттєвих системних попереджень».
Читайте также: BlueBird Tech випустила перший в Україні імітатор аналогового відеосигналу для тестування дрон-детекторів і систем РЕР