Гул серверов в тёмном дата-центре, призрачный шёпот скомпрометированных учёток.
Такова реальность для множества российских организаций с сентября 2025 года — во многом благодаря настойчивым усилиям прорукраинской хактивистской группы PhantomCore. Positive Technologies детально разобрала, как эта команда — она же Fairy Trickster и Head Mare — неустанно охотится за серверами с TrueConf. Удивляет не столько выбор целей, сколько техническая изощрённость: они используют цепочку из трёх уязвимостей для удалённого выполнения команд на уязвимых системах.
Это не просто любопытство. Никаких детских забав здесь нет. «Несмотря на отсутствие публичных эксплойтов для этой цепочки уязвимостей, PhantomCore самостоятельно их исследовала и воспроизвела, что привело к множеству атак на российские организации», — пишут исследователи Даниил Григорьян и Георгий Хандожко. Это говорит о серьёзной работе: поиск и превращение в оружие zero-day — или хотя бы ранее неизвестных цепочек — задолго до того, как сообщество инфосека их заметит.
PhantomCore не новички. С 2022 года они сочетают политические мотивы — в контексте российско-украинской войны это очевидно — с финансовыми. Обычно крадут данные и выводят сети из строя. Бывали случаи с ransomware на базе исходников Babuk и LockBit. Positive Technologies ещё в сентябре 2025-го отметила: группа «проводит масштабные операции, сохраняя отличную скрытность — долго оставаясь невидимыми в сетях жертв — благодаря постоянным обновлениям собственных инструментов». Эта скрытность и адаптивность с точки зрения обороны просто пугает.
Технический нокаут: уязвимости TrueConf под микроскопом
Positive Technologies описала конкретные дыры, которые использует PhantomCore. Вот как они открывают дверь:
- BDU:2025-10114 (CVSS: 7.5): Недостаточный контроль доступа. Проще говоря, атакующий обходит аутентификацию и пингует админские эндпоинты — всё под
/admin/*— без проверок. Как войти в охраняемое здание без пропуска. - BDU:2025-10115 (CVSS: 7.5): После первого прорыва — чтение любых файлов на системе. Конфиги, данные пользователей, интеллектуальная собственность — всё на виду.
- BDU:2025-10116 (CVSS: 9.8): Кульминация. Инъекция команд с критическим баллом 9.8. Атакующий выполняет произвольные команды ОС. Здесь они переходят от разведки к полному контролю.
Вместе эти три дыры — золотой билет. Обход аутентификации, несанкционированный доступ, прямые команды серверу. TrueConf выпустила патчи 27 августа 2025-го, но первые атаки случились в середине сентября. Трёхнедельного окна хватило, чтобы закрепиться.
От видеоконференций к плацдарму в сети
Забравшись на сервер TrueConf, PhantomCore не любуется видом. Они используют его как трамплин: перемещаются по внутренней сети, сбрасывают полезные нагрузки для разведки, уклонения и сбора учёток. Создают стойкие каналы, маскируя трафик туннелями.
Часто встречается PHP-веб-шелл: скрипт для загрузки файлов и удалённых команд. Ещё один PHP-файл работает прокси, маскируя их запросы под трафик легитимного сервера. Хитрый трюк, который продлевает невидимость.
Арсенал PhantomCore — смесь самописного и публичного. Они разворачивают кастомный клиент TrueConf PhantomPxPigeon с reverse shell: он коннектится к их серверу, получает задачи, выполняет команды и проксирует через шелл. Для персистентности — PhantomSscp (DLL), MacTunnelRat (PowerShell), PhantomProxyLite (PowerShell) для reverse SSH-туннелей. Разведка через ADRecon, учётки — Veeam-Get-Creds (модифицированный для Veeam), DumpIt, MemProcFS. Латерал — по WinRM и RDP, удалённый доступ — Velociraptor. C2 через microsocks, rsocx, tsocks с SOCKS-прокси.
В некоторых случаях создавали админского юзера «TrueConf2» с повышенными правами. Это подчёркивает: они роют глубоко.
Фишинг: старая добрая классика
Цепочка TrueConf — мощный вектор, но PhantomCore не забывает традиции. В январе-феврале 2026-го они фишинговали российские организации ZIP/RAR-архивами с бэкдором для удалённых команд и payloads. Гибрид: zero-day плюс социнженерия.
Осознанная угроза
«PhantomCore — одна из самых активных групп в российском ландшафте угроз», — подвели итог исследователи Positive Technologies. «В арсенале — публичные инструменты (Velociraptor, Memprocfs, Dokan, DumpIt) и самописные (MacTunnelRAT, PhantomSscp, PhantomProxyLite). Цели — госструктуры и бизнес из разных отраслей». Это не маргиналы, а серьёзный игрок.
Фокус ясен: «PhantomCore ищет уязвимости в отечественном ПО, пишет эксплойты и проникает в множество российских компаний». Тренд тревожный: целенаправленный удар по локальным экосистемам для национальных киберцелей. Если не остановить, последствия выйдут за Россию.
TrueConf — системный риск?
Атаки на TrueConf ставят под вопрос безопасность российского ПО. Патчи вышли, но факт: уязвимости нашли и эксплуатировали до массового апдейта. Это вечная гонка между дырами и патчами — часто нечестная. Новые цепочки или баги возвращают уязвимость. Инцидент напоминает: безопасность софта держится на слабом звене в разработке и бдительности пользователей.
Что это значит для КИ?
Для критической инфраструктуры в России это не новость, а красный сигнал. TrueConf, как и многие платформы, несёт чувствительный трафик. Прорыв — дверь в OT или другие системы без строгой сегментации. Персистентность и латерал PhantomCore говорят о слабостях против APT. Кастомное ПО, фейковые админы, туннели — они маскируются надолго. Нужны threat hunting, планы реагирования и подход «предполагай прорыв».
