Кибергруппировка Stan Ghouls атакует организации России и СНГ

Группировка, известная как Stan Ghouls (в классификации других ИБ-вендоров — Bloody Wolf), развернула серию целевых кибератак против корпоративного сектора в России, Казахстане, Узбекистане и Кыргызстане. Активность хакеров фиксируется с 2023 года, а основной фокус смещен на финансовые организации, промышленные предприятия и ИТ-компании. Анализ инфраструктуры показывает высокую степень подготовки и адаптацию инструментария под конкретные цели.

Тактика доставки и мимикрия

Методология проведения атак строится на целенаправленном фишинге. Злоумышленники используют документы в формате PDF, локализованные под целевой регион, причем зачастую рассылаются варианты на нескольких языках, включая русский. Несмотря на разветвленную сеть доменов, через которые происходит коммуникация, итоговым вектором заражения становится загрузка одного и того же исполняемого JAR-файла. На текущий момент экспертам удалось выявить более 35 доменов, которые операторы группы регулярно ротируют для обхода детектирования.

Процедура развертывания вредоносного ПО включает несколько эшелонов защиты от анализа. После запуска загрузчик отображает пользователю фейковое системное уведомление об ошибке, имитируя сбой программы. Встроенный механизм контроля количества попыток заражения пресекает повторную активность, если на хосте уже фиксировалось три и более обращений к вредоносному коду. Для обеспечения отказоустойчивости загрузчик содержит список нескольких управляющих доменов, перебирая их до момента успешного соединения.

Переход к методам Living-of-the-Land

Если ранее основным инструментом группы был троянец удаленного доступа STRRAT (известный как Strigoi Master), то с 2024 года хакеры существенно изменили подход. В качестве основного вектора управления зараженными машинами они выбрали легитимное программное обеспечение для удаленного администрирования — NetSupport. Это классический пример стратегии Living-of-the-Land (LotL), когда для атаки применяются штатные инструменты, что позволяет минимизировать реакцию систем защиты.

Процесс установки включает загрузку 21 файла с жестко прописанными именами. Программа NetSupport интегрируется в среду ОС с высокой степенью персистентности: создается скрипт автозапуска run.bat и добавляются записи в системный менеджер автозагрузки тремя различными путями. Успешная установка дает операторам полный удаленный доступ к инфраструктуре жертвы. Аналитики связывают интерес к финансовым организациям с намерением проводить несанкционированные транзакции, однако не исключают и сценарии кибершпионажа.

Расширение арсенала и потенциальные угрозы

Исследователи также обнаружили в инфраструктуре Stan Ghouls следы вредоносного ПО семейства Mirai. Это указывает на то, что группировка начала осваивать сегмент интернета вещей (IoT). Использование IoT-вредоносов вместе с данными о недавнем обновлении доменной регистрации (июль 2025 года) свидетельствует о развитии инфраструктуры. Наибольшее число пострадавших обнаружено в Узбекистане — около 50 организаций, в то время как заражения в РФ, Казахстане, Беларуси, Турции и Сербии носят менее массовый характер.