



Операция CargoTalon: атака на российскую авиационную промышленность через LNK и PowerShell — новый виток кибершпионажа
В середине 2025 года была раскрыта кибершпионская кампания под кодовым названием Operation CargoTalon, нацеленная на предприятия российской авиационно-оборонной отрасли, включая Воронежское акционерное самолётостроительное общество (ВАСО). За операцией стоит ранее не известная группировка, обозначаемая как UNG0901 (Unknown Group 901).
Атака начинается с рассылки фишинговых писем, замаскированных под уведомления о доставке грузов. В письме содержится ZIP-архив с вредоносным LNK-файлом, который:
активирует PowerShell, открывает поддельный Excel-документ и одновременно устанавливает backdoor - кастомный DLL под названием EAGLET;
приманка (Excel-файл) содержит ссылки на реальные логистические компании, например, Obltransterminal, попавшую под санкции в 2024 году, что повышает достоверность письма;
EAGLET собирает информацию о системе и связывается с C2-сервером по IP 185.225.17[.]104;
взаимодействие с C2 происходит через HTTP и включает получение и выполнение удалённых команд.
Имплант не использует типовые уязвимости, а делает ставку на социальную инженерию и малозаметную доставку вредоносного ПО. В применяемых тактиках чётко прослеживаются элементы из MITRE ATT&CK, включая:
T1059.001 — выполнение через PowerShell;
T1566.001 — фишинг с вложениями;
T1036 — маскировка;
T1082 — сбор информации о системе;
T1482 — анализ доверенных доменов;
T1041 — эксфильтрация через C2-каналы;
T1537 — передача данных в облачные хранилища.
По мнению аналитиков, CargoTalon может иметь технологическое родство с известными российскими киберструктурами, например, с группой Head Mare. Несмотря на то, что основная цель — российские организации, вектор выглядит схожим с тактикой группы 26165 (GRU), использующей:
брутфорс;
эксплуатацию уязвимостей;
доступ к
Читать на habr.com