Punishing Owl атакует Россию: новая сова в лесу хактивистов

Первая атака

12 декабря 2025 года ранее неизвестная группировка*, именующая себя Punishing Owl, опубликовала пост о взломе сетей российского государственного учреждения из сферы безопасности. Сообщение содержало ссылки на DLS-сайт с внутренними документами жертвы и хранилище Mega.nz, дублирующее эти файлы.

*_{С учетом того, что автор сообщения говорит о себе во множественном числе, Punishing Owl воспринимается как группировка.}

Сообщение группировки в соцсети

DLS-ресурс с файлами жертвы

Кроме того, в день публикации сообщения о кибератаке группировка Punishing Owl,
имея доступ к DNS-конфигурации доменной зоны жертвы, создала субдомен hacked.[REDACTED].ru, для которого вместе с корневым доменом изменила DNS-записи, делегировав их серверу, расположенному в Бразилии. На этом сервере также были опубликованы ссылки на файлы, украденные из внутренней сети жертвы, и политический манифест.

Манифест группировки

Манифест группировки

Дополнительно на сервере группировка настроила поддельный TLS-сертификат для доменной зоны жертвы, выпущенный в день публикации сообщения о кибератаке, а также сетевые порты, IMAP- и SMTP-службы для работы с электронной почтой.

TLS-сертификат DLS-сервера

Почтовые службы DLS-сервера

Целью изменения DNS-маршрутов было заманивание на DLS-сайт пользователей официального ресурса жертвы, распространение информации о компрометации среди ее клиентов и контрагентов, формирование тенденциозной новости. День и время публикации сообщения — пятница, 18:37 — вероятнее всего, выбраны, чтобы снизить вероятность оперативного реагирования на инцидент служб безопасности и обеспечить максимально долгое присутствие следов компрометации в публичном пространстве.

BEC-кибератаки на контрагентов жертвы

В течение следующих нескольких дней после публикации сообщения о кибератаке на адреса электронной почты контрагентов жертвы были отправлены электронные письма, в которых группировка от своего имени сообщала о факте компрометации сети учреждения и его клиентов. В них также была ссылка на домен с измененной DNS-записью, ведущей на DLS-сайт. Письма отправлялись с того же сервера в Бразилии, в качестве отправителя использовался созданный в почтовом домене жертвы адрес punishingowl@[REDACTED].

Письмо, отправленное контрагенту от имени группировки

Заголовки письма

Спустя час с этого же бразильского сервера, но уже с электронного адреса сотрудника жертвы была запущена новая email-рассылка в адрес контрагентов якобы с официальным подтверждением факта компрометации корпоративной сети. К сообщениям под видом подтверждающих документов прилагался защищенный паролем вредоносный архив. В теме писем был сделан акцент на срочности изучения приложенных документов.

Письмо, отправленное контрагенту от имени сотрудника жертвы

Заголовки письма

Вредоносные инструменты и инфраструктура

Вредоносные письма содержали защищенный паролем ZIP-архив, внутри которого был упакован LNK-файл, маскирующийся (с помощью двойного расширения) под PDF-документ.

Вредоносный ZIP-архив

Открытие LNK-файла приводило к скрытому выполнению в PowerShell-оболочке команды на загрузку с С2-сервера bloggoversikten[.]com (82.221.100[.]40) и запуск на зараженном хосте PowerShell-стилера ZipWhisper.

Вредоносный LNK-файл в процессинге PT Fusion

Тело PowerShell-стилера в процессинге PT Fusion

Стилер собирает файлы с данными веб-браузеров зараженного хоста и упаковывает в ZIP-архивы с названиями вида [USER NAME]-home-part[CHUNK NUMBER].zip, которые сохраняются в директорию AppData/Local/Temp и выгружаются на тот же С2-сервер с использованием эндпойнта upload/[COMPUTER NAME]/[USER NAME].

Лог работы PowerShell-стилера

Архивы в директории AppData/Local/Temp

Эндпойнт для загрузки файлов на С2 в коде PowerShell-стилера

Программный код одного из обнаруженных экземпляров ZipWhisper-стилера содержал строку с фразой «generated at», указывающую на возможное использование группировкой AI-инструментов для генерации кода стилера.

Временная метка генерации скрипта в коде PowerShell-стилера

С2-домен маскировался под русскоязычный технический блог. Домен до 2015 года действительно использовался для ведения легитимного зарубежного технического блога. До 2025 года он был свободен, а затем был повторно зарегистрирован и использован группировкой в кибератаках.

Мимикрия С2-домена

Виктимология (кто жертва)

Все обнаруженные кибератаки Punishing Owl направлены исключительно на критическую информационную инфраструктуру России, в числе жертв идентифицированы российские государственные учреждения, научные предприятия, IT-организации.

Цифровой след группировки

Было обнаружено несколько аккаунтов группировки в соцсетях, на киберкриминальных площадках в даркнете и в онлайн-сервисах, зарегистрированных в декабре 2025 года в день публикации сообщения о кибератаке и в течение следующей недели. Вероятно, группировка находится в самом начале киберпреступного пути и активно обзаводится аккаунтами для публичного освещения будущих кибератак.

Сообщение группировки на киберпреступном форуме

Сообщение группировки на киберпреступном форуме

Публичный граф жертв, созданный группировкой

Согласно внутренним алгоритмам соцсети, зарегистрированный в ней аккаунт группировки администрируется с территории Казахстана.

Данные соцсети об аккаунте группировки

В трассировках вредоносных писем группировки обнаружен адрес электронной почты группировки punishingowl@atomicmail[.]io.

Заголовки письма

Заключение

В условиях продолжающейся глобальной политической напряженности мы в экспертном центре безопасности (PT ESC) прогнозируем сохранение тенденции к появлению новых политически мотивированных хактивистских группировок в российском и международном киберпространстве.

Эксперты PT ESC убеждены, что кибератаки Punishing Owl не являются одноразовой PR-акцией и группировка намерена сохранить устойчивое присутствие в спектре российских киберугроз, на что указывают использование собственных вредоносных инструментов, длительное сохранение режима тишины в условиях продолжительного нахождения в сети жертв, а также создание и раскрутка в даркнете собственного киберпреступного бренда.

Отдел исследования киберугроз (TI-департамент PT ESC) продолжит отслеживать активность группировки Punishing Owl и своевременно поставлять актуальные данные киберразведки в продукты Positive Technologies и на портал PT Fusion.

Индикаторы компрометации

С2-инфраструктура

bloggoversikten.com

ZIP-архив

MD5: 99ed9a3126f72ec70975a3d6246130e0

SHA1: 85a8d1b54b294a01089948573fce7c0059b8b2b1

SHA256: 94b93f4540f01956895a74d2c0b54e502f2be299e4d2ea0a3cc639619377f229

LNK-загрузчики

MD5: b72c550737ef4fbf74b529d1a1b33569

SHA1: d10818d99a616720f6d061b95659d34bbc575821

SHA256: 37f307b378c028afa67a236a05224e367ed486ab3ab2f7c3e13518d0823e137d

MD5: bbf0b95372c89eada433b41eeef5f761

SHA1: 64f1a24f2f81632329e84a30b15ca8a74b5478c3

SHA256: dfd49ea1911fb7e800440c82b6518828ec7fa7c595d7ea6baabec29e5d9cecec

Стилер ZipWhisper

MD5: 07807a7da277184539e35126f1ab3bae

SHA1: d24e8f21cbe4dcd573aaa914c41df8609c5d3f47

SHA256: 09636fbca343f268ee7c0c033e37a9b007fe40ce914c4273ed961d84b52bed17

MD5: 5db00ab3e6875c14cf550b1e7c664310

SHA1: 83fdfe08206a05c85833873576653d0802883d9e

SHA256: b1782f8f3440ce4b184f27c4047439aa998058ec17319a5b08031eda545d5a50

MD5: 8027ca72007f5b4a270ab8230c7b5bf5

SHA1: a82eb95e60f084c261f88d60aff1cee30602552f

SHA256: f25506f5a7f3580edae159bbdbca3f8d17dfeeaadcc548c8202a764399550778

MD5: 33c78c7126ae56040f04de4df4139acb

SHA1: 8deffa9765915a57e9679f4481dac43dabbbcecd

SHA256: 6aa09062a755775e1b11dfd5fa80981fa50e1ecf4ba3f1ae41b2ed8b671e0f6a

Виктор Казаков

Ведущий специалист группы киберразведки TI-департамента экспертного центра безопасности Positive Technologies