Ключевые моменты
— Cloud Atlas изменила свои TTPs, перейдя от использования собственной инфраструктуры к задействованию скомпрометированных легитимных доменов для распространения вредоносного ПО.
— Mustard Tempest, помимо распространения вредоносного ПО через SocGholish (FakeUpdates), может предоставлять доступ к уже захваченным веб-ресурсам другим участникам хакерского сообщества на коммерческой или партнерской основе для размещения и доставки вредоносной нагрузки.
— Многоступенчатые атаки, построенные на MaaS, существенно усложняют анализ поверхности атаки, разделение ролей между участниками цепочки и корректную атрибуцию группировок.
В конце 2025 года группа киберразведки зафиксировала кампанию хакерской группировки Cloud Atlas, нацеленную на российские организации из сферы промышленности и военно-промышленного комплекса.
Для первичного проникновения использовалась электронная почта: рассылка велась от имени реального контрагента через скомпрометированный почтовый ящик.
В качестве загрузчика использовался DOC-файл-приманка. При его открытии инициировалось обращение к удаленному RTF-шаблону, ссылка на который была встроена во внутренний поток 1Table. Последующая доставка промежуточных компонентов и полезной нагрузки осуществлялась через WebDAV-ресурсы, опубликованные на серверах atelierdebondy[.]fr и kommando[.]live.
![HTTPS-запрос к kommando[.]live](https://habrastorage.org/r/w1560/getpro/habr/upload_files/833/07d/ca1/83307dca12db97876f1d3ea74b82d073.png "HTTPS-запрос к kommando[.]live")
![Ответ сервера kommando[.]live](https://habrastorage.org/r/w1560/getpro/habr/upload_files/faf/d1e/6dc/fafd1e6dce50ab18460ea60bdae3079f.png "Ответ сервера kommando[.]live")
Дальнейшая проверка показала, что домены atelierdebondy[.]fr и kommando[.]live изначально являлись легитимными ресурсами. В частности, atelierdebondy[.]fr принадлежит французской компании, работающей в розничной торговле мясной продукцией.
![Взломанный легитимный сайт atelierdebondy[.]fr](https://habrastorage.org/r/w1560/getpro/habr/upload_files/4d8/401/39a/4d840139aea6984630977ee22f4524ef.png "Взломанный легитимный сайт atelierdebondy[.]fr")
При анализе исходного кода страниц на указанных доменах обнаружены HTML- и JavaScript-инъекции, реализующие редиректы, трекинг и подгрузку внешнего контента. Характер и логика инъекций не соответствуют типичным TTPs Cloud Atlas.
Кроме того, в отличие от ранее описанных кампаний, где Cloud Atlas применяла собственные домены, группировка воспользовалась взломанными легитимными доменами.
Анализ выявленной JavaScript-инъекции показал, что ее структура и логика работы характерны для Mustard Tempest (TA569, DEV-0206, Gold Prelude) и сама она связана с распространением JavaScript-загрузчика SocGholish (FakeUpdates).
Ниже мы подробно разобрали роль Mustard Tempest в этой цепочке доставки и восстановили полную последовательность атаки.
Роль Mustard Tempest в цепочке доставки вредоносного ПО
Mustard Tempest относится к категории брокеров первоначального доступа (initial access brokers, IABs). Группировка компрометирует публичные веб-ресурсы для доставки вредоносного контента и монетизирует полученные точки входа путем продажи на закрытых форумах и даркнет-маркетплейсах (MaaS, IABs-модель).
Основным инструментом является SocGholish (FakeUpdates) — JavaScript-загрузчик, внедряемый в скомпрометированные сайты и имитирующий обновление браузера или ПО.
В исследуемой кампании на сайте atelierdebondy[.]fr был обнаружен внедренный фрагмент, замаскированный под скрипт Header Fix Tester v2.1.3. Скрипт визуально имитирует легитимный компонент WordPress-сайта и содержит комментарии на русском языке.
![Внедренный вредоносный JavaScript-код на сайте atelierdebondy[.]fr](https://habrastorage.org/r/w1560/getpro/habr/upload_files/1fc/9f8/f85/1fc9f8f85b623d41dfb745a4486c6c7c.png "Внедренный вредоносный JavaScript-код на сайте atelierdebondy[.]fr")
![Внедренный вредоносный JavaScript-код на сайте atelierdebondy[.]fr](https://habrastorage.org/r/w1560/getpro/habr/upload_files/ded/5ac/efb/ded5acefb5bd7bdada04eeb9d9f6c024.png "Внедренный вредоносный JavaScript-код на сайте atelierdebondy[.]fr")
Функциональность скрипта:
наложение полноэкранной затемняющей подложки;
открытие iframe с домена statswpmy[.]com;
срабатывание исключительно на Windows (игнорирование мобильных устройств и узких экранов);
ограничение показов через cookie iframe_shown_count;
сбор и отправка телеметрии на trackingmyadsas[.]com/api/track
(User-Agent, referer, timestamp, user ID).
В результате пользователь видел фишинговую страницу обновления Google Chrome без изменения домена в адресной строке. Доставка реализовывалась через раздачу ZIP-архивов.
Идентичный фрагмент Header Fix Tester v2.1.3 был опубликован 16 сентября 2025 года на Pastebin, что подтверждает повторное использование шаблона.
![Фрагмент вредоносного кода на Pastebin[.]com](https://habrastorage.org/r/w1560/getpro/habr/upload_files/280/266/0f3/2802660f39378b5997e190911a898975.png "Фрагмент вредоносного кода на Pastebin[.]com")
![Фрагмент вредоносного кода на Pastebin[.]dev](https://habrastorage.org/r/w1560/getpro/habr/upload_files/11b/368/22d/11b36822df8fb6b6668d98418d954984.png "Фрагмент вредоносного кода на Pastebin[.]dev")
Кроме того, выяснилось, что домены statswpmy[.]com и trackingmyadsas[.]com были зарегистрированы у одного регистратора в один день – 3 сентября 2025 года.
![Регистрационные данные домена statswpmy[.]com](https://habrastorage.org/r/w1560/getpro/habr/upload_files/df8/9a3/94e/df89a394eac8cbda5b1c5001c44897f1.png "Регистрационные данные домена statswpmy[.]com")
![Регистрационные данные домена trackingmyadsas[.]com](https://habrastorage.org/r/w1560/getpro/habr/upload_files/d67/be6/397/d67be6397175cf91f82b4861947c3537.png "Регистрационные данные домена trackingmyadsas[.]com")
Ретроспективный анализ контента на сайте statswpmy[.]com показал, что домен использовался как изменяемый элемент цепочки доставки:
🔹 В начале сентября 2025 года домен отдавал минимальную загрузочную страницу, перенаправлявшую посетителя на chromusimus[.]com.
🔹 В ноябре 2025 года домен стал размещать полноценную посадочную страницу FakeUpdates Update Chrome (v2.1.3) и инициировал загрузку ZIP-архивов с rummikub-apps[.]com.
🔹 12 и 22 ноября наблюдалась ротация имени загружаемого архива при неизменной логике страницы.
🔹 В декабре 2025 года механизм был доработан: ссылка на загрузку стала выдаваться динамически через xyrmiskisxyr[.]cc/get-link.php, что позволяет оперативно менять полезную нагрузку без правки самой страницы.
![PDNS statswpmy[.]com](https://habrastorage.org/r/w1560/getpro/habr/upload_files/ed5/ef2/fc4/ed5ef2fc460740176b64120c02116118.png "PDNS statswpmy[.]com")
Для выявления других зараженных доменов мы использовали уникальные маркеры внедрения, обнаруженные в коде скомпрометированных страниц, — домены statswpmy.com и trackingmyadsas.com.
По этим паттернам удалось выявить 500 уникальных доменов с аналогичными признаками заражения. Из них 452 (90,4%) используют CMS WordPress.
Для остальных ресурсов определить CMS по доступным HTTP-ответам либо не удалось, либо такие признаки оказались недостаточно надежными.
География выявленных скомпрометированных ресурсов охватывает 38 стран, однако инфраструктура явно сосредоточена в ограниченном числе стран. Более половины серверов всех обнаруженных доменов размещались в США — 267 доменов (53,5%), в Германии — 55 (11,0%),Великобритании — 28 (5,6%), Франции — 19 (3,8%), Нидерландах и Сингапуре — по 12 доменов (по 2,4%).
Анализ доменных зон показал, что сайты заражены в наиболее массовых сегментах DNS. Распределение по доменным зонам выглядит следующим образом:
.com — 323 (64,7%);
.com.br — 19 (3,8%);
.in — 16 (3,2%);
.net — 12 (2,4%);
.org — 9 (1,8%).
Наиболее вероятными выглядят несколько сценариев первоначальной компрометации таких сайтов:
🔻 Компрометация учетных записей. Несанкционированный доступ к аккаунтам администраторов CMS с последующей загрузкой вредоносного кода.
🔻 Эксплуатация уязвимостей. Использование векторов атак, связанных с недостатками конфигурации и управления патчами (устаревшие компоненты CMS, брутфорс слабых паролей, отсутствие 2FA).
Таким образом, Mustard Tempest ориентируется не столько на отрасль или страну владельца сайта, сколько на удобную для взлома веб-поверхность. В случае с FakeUpdates такой площадкой чаще всего становятся сайты на WordPress. Среди выявленных зараженных ресурсов присутствовали и те, которые принадлежат организациям из России.
TA2726 как оператор инфраструктуры распределения и перенаправления вредоносного трафика
Помимо основной JavaScript-инъекции, в HTML-разметке atelierdebondy[.]fr была выявлена отдельная HTML-вставка: в секцию <head> добавлены элементы dns-prefetch.
<link rel='dns-prefetch' href='//modestknollpartners[.]com' />
<link rel='dns-prefetch' href='//javascriptbasics[.]com' />
<link rel='dns-prefetch' href='//proxyreflecttools[.]com' />
Динамический анализ подтвердил запросы к вышеуказанным доменам, в ответ на которые возвращался JavaScript-загрузчик. Он выполнял фильтрацию трафика и запускал следующий этап цепочки заражения.
Подобная схема многоуровневой доставки уже неоднократно описывалась в публичных исследованиях экосистемы SocGholish.
Обнаруженные dns-prefetch-элементы соотносятся с инфраструктурой TA2726, используемой для распределения и перенаправления вредоносного трафика. В рамках наблюдаемой цепочки скомпрометированный сайт выполнял функцию первоначальной доставки. Обращения к доменам modestknollpartners[.]com, javascriptbasics[.]com и proxyreflecttools[.]com относились уже к следующему этапу — фильтрации посетителей по гео-, ОС- и браузерным признакам, динамической маршрутизации трафика и передаче управления аффилированным операторам.
Операторы, использующие инфраструктуру Mustard Tempest
На момент исследования с домена atelierdebondy[.]fr через FakeUpdates распространялся ZIP-архив (см. рис. 11), замаскированный под обновление браузера. Анализ показал, что исполняемый файл из архива не являлся конечной полезной нагрузкой. После запуска он подготавливал систему к следующей стадии заражения:
добавлял рабочие каталоги в исключения Microsoft Defender;
закреплялся в системе через задания планировщика и механизмы автозапуска;
отправлял служебные уведомления через Telegram Bot API о начале выполнения и запуске исполняемого файла.
После этого в цепочке развертывался промежуточный загрузчик HijackLoader, который затем использовался для доставки DeerStealer в качестве финальной полезной нагрузки.
Рассматриваемая цепочка соответствует модели, при которой операторы используют готовую модульную связку:
🔹 DNS-prefetch-инфраструктура — фильтрация и маршрутизация трафика;
🔹 SocGholish — распространение и первоначальный доступ;
🔹 HijackLoader — промежуточный загрузчик;
🔹 DeerStealer — финальная полезная нагрузка, предназначенная для кражи учетных данных и другой конфиденциальной информации.
Управление такой цепочкой, настройка параметров и последующая монетизация украденных данных осуществляются с использованием готовых веб-панелей и Telegram-ботов, что упрощает масштабирование подобных кампаний.
Заключение
В рассматриваемой цепочке Mustard Tempest обеспечивает компрометацию легитимных веб-ресурсов и использует их для доставки вредоносного ПО с помощью FakeUpdates(SocGholish).
Последующие стадии могут реализовываться аффилированными или независимыми операторами, использующими инфраструктуру Mustard Tempest как готовую точку входа в инфраструктуру жертвы.
На примере этой атаки видно, как могут строиться вредоносные кампании. Их собирают по принципу конструктора из готовых модульных сервисов по модели MaaS. В одной цепочке одновременно задействуются скомпрометированные легитимные сайты, инфраструктура распределения и перенаправления трафика, промежуточные загрузчики и финальная полезная нагрузка, предназначенная для кражи данных. Такой подход позволяет разным операторам ВПО отвечать только за свой этап атаки, не контролируя всю цепочку целиком.
Дополнительный интерес представляет то, что в период, когда Mustard Tempest распространяла вредоносное ПО через схему FakeUpdates, с тех же доменов по отдельным URL также распространялось вредоносное ПО Cloud Atlas. Это наблюдение выбивается из ранее публично описанных для Cloud Atlas техник и тактик. В предыдущих кампаниях группировка, как правило, использовала фишинговые документы, удаленные шаблоны и полезную нагрузку, размещенные на серверах, контролируемых самими атакующими, а не на скомпрометированных легитимных сайтах, уже задействованных другими хакерскими группировками. С учетом этого можно рассматривать как минимум две гипотезы.
Первая гипотеза: Cloud Atlas частично скорректировала свои TTPs, самостоятельно скомпрометировала легитимные веб-ресурсы и использовала их для доставки вредоносного ПО.
Вторая гипотеза: Cloud Atlas также изменила свои TTPs, однако не самостоятельно компрометировала веб-ресурсы, а приобрела доступ у Mustard Tempest. При таком сценарии Mustard Tempest, помимо распространения вредоносного ПО через FakeUpdates, могут предоставлять доступ к своей инфраструктуре другим участникам хакерского сообщества на коммерческой или партнерской основе, чтобы те использовали такие ресурсы для размещения и доставки собственной вредоносной нагрузки вне сценария FakeUpdates.
Сложность создает то, что одни и те же уязвимости и инфраструктуру активно используют как APT-группировки, так и обычные финансово мотивированные операторы MaaS. В результате на одних и тех же ресурсах могут пересекаться сразу несколько группировок разного уровня, профиля и мотивации.
Для исследователей это заметно повышает сложность анализа: становится труднее разграничивать роли отдельных участников атаки и корректно атрибутировать группировки.
