Киберпреступные группы, атакующие Россию, отличаются разнообразием. Среди них есть те, кто специализируется на взломе исключительно российских компаний, а есть и такие, для кого организации в РФ — главная, но далеко не единственная цель. И среди них есть тоже разделение:  одни киберпреступники предпочитают работать преимущественно по странам СНГ, а другие  масштабируют свои атаки — на  Западную Европу, Ближний Восток и Юго-Восточную Азию.

В этом блоге разберем атаки группы, которой специалисты F6 Threat Intelligence присвоили название xplogs22 — по электронному адресу, использовавшемуся злоумышленниками в атаках для эксфильтрации похищенных данных.

xplogs22 — киберпреступная группировка, активная как минимум с ноября 2023 года. Проводит массовые фишинговые атаки на организации из разных стран. Использует в атаках троян удалённого доступа XWorm, ранее применяла вредоносное ПО SnakeKeylogger и стилер FormBookFormgrabber.

Обнаруженные специалистами F6 атаки xplogs22 преимущественно нацелены на Россию и другие страны СНГ. Большинство текстов писем группы написаны на русском языке, но встречаются также письма на английском, арабском, казахском и турецком. Большая часть фишинговых писем связана с юридической  тематикой оформления и заключения договоров.

Компании, которые атакует группировка, в основном относятся к таким отраслям, как:

  • торговля;

  • энергетика;

  • промышленность;

  • наука и инженерия;

  • строительство;

  • здравоохранение;

  • информационные технологии;

  • финансы;

  • развлечения;

  • телекоммуникации;

  • спорт;

  • добыча полезных ископаемых;

  • ЖКХ;

  • сельское хозяйство;

  • транспорт.

В ранних атаках злоумышленники использовали в рассылках вредоносную программу SnakeKeylogger, также было обнаружено несколько атак с применением стилера FormBook.

С июля 2025 года данный кластер активности начал рассылать письма с трояном удаленного доступа XWorm и вносить изменения в цепочки атак. Кампания с использованием XWorm на момент исследования в июле 2026 года продолжается. За это время злоумышленники отправили компаниям более 2900 фишинговых писем.

В этом блоге исследуем хронологию активности группировки xplogs22 и акцентируем внимание на свежих атаках с использованием XWorm и их технических деталях.

Основные характеристики xplogs22

В январе 2025 года в процессе мониторинга угроз в системе F6 MXDR специалисты Threat Intelligence обнаружили несколько фишинговых писем на русском языке с темой «Договор», отправленных со скомпрометированного электронного адреса российской компании. В качестве вложений к письмам злоумышленники использовали архив Contract.bz с файлом Contract.exe внутри, запуск которого заражал систему вредоносным ПО SnakeKeylogger.

SnakeKeylogger — вредоносное ПО, впервые обнаруженное в 2020 году. Совмещает возможности стилера и кейлогера. В его функционал входит кража информации с системы жертвы, включая различные учетные данные, а также считывание нажатий клавиш пользователя.

В ходе исследования семпла Contract.bz (SHA1: 77dd63cfcc939137e6edd31d5f1acd673fd0339b) была обнаружена следующая конфигурация.

{'Snake': {'Type': ['SMTP'], 'Host': ['mail[.]murchisonspice[.]co[.]za'], 'Port': ['587'], 'From Address': ['accounts@murchisonspice[.]co[.]za'], 'To Address': ['xplogs22@yandex[.]com'], 'Password': ['<REDACTED>']}}

В данном случае эксфильтрация похищенных данных осуществлялась через SMTP-протокол, и в качестве целевого электронного адреса был указан xplogs22@yandex[.]com, который и послужил основанием для именования группировки.

В результате исследования фишинговых рассылок со SnakeKeylogger с использованием того же домена для эксфильтрации похищенных данных, как в конфигурации выше (mail[.]murchisonspice[.]co[.]za), были обнаружены письма на арабском и английском языках аналогичной тематики. Кроме того, в ходе ретроспективного анализа удалось установить, что группа xplogs22, предположительно, начала свои атаки как минимум с ноября 2023 года и периодически меняла адреса для эксфильтрации. Также в некоторых атаках было замечено использование стилера FormBook.

Анализ одного из вредоносных семплов SnakeKeylogger группы xplogs22 из атак 2025 года доступен на Malware Detonation Platform от компании F6 по ссылке.

Аналитики F6 Threat Intelligence выявили ряд особенностей атак группировки xplogs22:

  • темы писем, преимущественно связанные с договорами (например, «Договор», «Contract/Договор», «Contract / عقد العمل») и платежами («Payment», «Квитанция об оплате», «Копия платежа»);

  • имена архивов из вложений писем, зачастую соответствующие шаблонам Contract* (Contract.bz, Contract_0103.bz), Payment* (Payment.bz) и MB*AE (MB267382625AE.bz, MB267382625AE.txz, MB268382625AE.pdf.bz2);

  • использование в письмах русского, арабского и английского языков;

  • рассылки преимущественно с российских и белорусских электронных адресов.

В июле 2025 года мы обнаружили новую кампанию группировки с использованием ВПО XWorm, которая продолжается и сейчас, на момент исследования в июле 2026 года. С началом использования нового трояна группировка стала видоизменять цепочки атак: внутри вложений писем, помимо привычных .exe-файлов, начали также доставляться файлы с расширениями .vbs, .hta или .bat.

Далее разберём технические детали атак xplogs22 за последние двенадцать месяцев.

Фишинговая кампания xplogs22 с использованием XWorm

XWorm — троян удалённого доступа на основе .NET. Впервые появился на хак-форумах в 2022 году. С помощью этого ВПО злоумышленники могут получить скрытый удаленный доступ к системе жертвы, похищать из нее различные данные и размещать в ней дополнительные вредоносные модули.

Пытаясь имитировать действия реальных компаний, группировка xplogs22 в основном использовала в своих рассылках электронные адреса в доменной зоне .ru. В атаках также встречались почты с доменами верхнего уровня .by, .uz, .kz, .ae, .tr, .net, .com, .org.

Рассылки осуществлялись с различных ресурсов:

  • с IP-адресов группировки, в том числе используемых ей в качестве C2;

  • с серверов хостинговых сервисов;

  • с почтовых серверов российских и белорусских организаций.

В части  атак кибергруппа подменяла e-mail отправителя с помощью спуфинга. В других атаках, предположительно, для рассылок использовались скомпрометированные электронные адреса российских и белорусских организаций.

В фишинговых письмах xplogs22 с ВПО XWorm, как и в атаках со SnakeKeylogger, встречался текст на русском, арабском и английском языках. Также было замечено несколько писем с использованием казахского и турецкого языков.

Среди обнаруженных специалистами F6 атак группировки xplogs22 с использованием XWorm бо́льшая часть была нацелена на страны СНГ: Россию, Беларусь, Казахстан, Армению, Азербайджан и Узбекистан.

Также были замечены атаки xplogs22 на другие страны, среди которых - ОАЭ, Ливан, Пакистан, Турция, Индия, Болгария, Бразилия, Гонконг, Канада, Кипр, Чехия, Эстония, Германия, Венгрия, Италия, Япония, Южная Корея, Латвия, Нидерланды, Норвегия, Польша, Испания, Швеция, Швейцария, Великобритания и США.

На рисунке продемонстрирован пример фишингового письма xplogs22 на русском, казахском и английском языках.

Рисунок 1 — Письмо, написанное с использованием русского, казахского и английского языков
Рисунок 1 — Письмо, написанное с использованием русского, казахского и английского языков

Кибергруппа xplogs22 периодически меняла С2-адреса. Ниже представлен их перечень за период с июля 2025 года по июль 2026 года.

C2

Порт

xpwarzonlin2[.]ddns[.]net (167[.]160[.]161[.]140)

1012

91[.]92[.]241[.]52

1012

178[.]16[.]55[.]121

1996

84[.]38[.]129[.]7

8018

31[.]56[.]209[.]80

1996

31[.]56[.]209[.]126

1996

84[.]38[.]129[.]122

443

109[.]248[.]150[.]234

443

На начало июля 2026 года группировка использует IP-адрес 109[.]248[.]150[.]234. Анализ одного из июльских вредоносных семплов xplogs22 на Malware Detonation Platform от компании F6 доступен по ссылке.

Выводы

Группировка xplogs22 делает ставку на масштабы, выполняя рассылки большими партиями на десятки стран и оформляя письма сразу на нескольких языках. Эти злоумышленики довольно консервативны — используют повторяющиеся темы и имена файлов, а также редко меняют свой инструментарий, оставаясь приверженными одному вредоносному ПО в течение длительного периода времени.

Больше подробностей, индикаторы компрометации, список тем фишинговых писем и названий файлов вложений, которые используют злоумышленники в рассылках, а также разбор цепочек атак - в блоге на сайте F6.