Открита е неизвестна досега група хакери, която се представя за словашката компания за киберсигурност ESET (известна с антивирусния си софтуер). Целта им е да измами украински организации чрез т.нар. фишинг атаки – измамни съобщения, които целят да откраднат информация или да заразят компютри.
Специалистите по сигурност от ESET наричат тази група InedibleOchotense и я свързват с Русия.
„Групата изпращаше целенасочени фишинг имейли и съобщения в приложението Signal (приложение за защитена комуникация). В тях имаше връзка към фалшив инсталатор на ESET, който всъщност съдържаше злонамерен код.“
— от доклада на ESET за периода април–септември 2025 г.
---
Какво прави групата?
InedibleOchotense използва тактики, подобни на други известни кампании:
Имейлът е на украински, но с грешка на руски
Имейлът е написан на украински, но първият ред съдържа руска дума – вероятно грешка при превода или копиране. Съобщението твърди, че:
„Екипът ни за наблюдение е открил подозрителен процес, свързан с вашия имейл. Компютърът ви може да е в риск.“
Целта е да използва доверието към марката ESET (много популярна в Украйна) и да накара хората да изтеглят фалшив инсталатор от сайтове като:
---
Какво прави фалшивият инсталатор?
Инсталаторът:
Така хакерите могат да влязат в заразения компютър от разстояние, без жертвата да разбере.
---
Друга гледна точка: CERT-UA
Украинският CERT-UA свързва подобна атака с друга подгрупа на Sandworm – UAC-0125. ESET казва:
„Има прилики, но не можем да потвърдим връзката.“
Матийо Фао, старши изследовател в ESET, обяснява:
„InedibleOchotense е свързана с Русия и има тактически прилики със Sandworm, особено с кампанията им с BACKORDER и UAC-0212.“
---
Sandworm продължава да унищожава данни в Украйна
Sandworm (APT44) е една от най-опасните руски хакерски групи. През 2025 г. тя продължава унищожителни атаки в Украйна с т.нар. wiper malware – вируси, които изтриват всички данни от компютрите.
Примери:
Групата UAC-0099 помага на Sandworm – тя пробива системите, а после предава достъпа на Sandworm за унищожаване.
„Тези атаки показват, че унищожителните вируси остават основно оръжие на руските хакери в Украйна.“ – ESET
---
RomCom използва уязвимост в WinRAR
Друга руска хакерска група – RomCom (известна още като Storm-0978, UNC2596 и др.) – започна атаки през юли 2025 г..
Какво правят?
Какво инсталират?
---
От престъпна до държавна операция
Според изследователя Франсис Гиберно (AttackIQ):
„RomCom започна като престъпна програма – продаваше се на хакери за изнудване с рансъмуер. Сега се използва от държавни хакери за кражба на пароли и данни в подкрепа на руските интереси.“
RomCom внимателно следи войната в Украйна и използва геополитическите събития, за да планира атаките си.
---
Извод:
Кибервойната срещу Украйна продължава с пълна сила. Хакерските групи използват измами с популярни марки, фалшиви инсталатори и сериозни уязвимости, за да проникнат, откраднат или унищожат критична информация.
