С мая по июль 2025 года специалисты Positive Technologies обнаружили в российских организациях более 180 зараженных систем. Вредоносная активность исходила от группировки PhantomCore и была направлена исключительно на российскую критически значимую инфраструктуру. В числе скомпрометированных организаций были госучреждения, научно-исследовательские институты, предприятия оборонно-промышленного комплекса, судостроительной отрасли, химической, горнодобывающей и обрабатывающей промышленности, а также IT-компании. Первое заражение датируется 12 мая 2025 года, а наибольшей интенсивности атаки достигли в июне, при этом 56% всех заражений пришлось на 30 июня. Исследователи пишут, что в среднем группировка находилась в скомпрометированных сетях 24 дня, максимально — 78 дней. При этом как минимум 49 хостов до сих пор остаются под контролем злоумышленников. По данным экспертов, APT-группировка PhantomCore активна с начала 2024 года и нацелена на получение доступа к конфиденциальной информации. Атаки хакеров отличаются значительным масштабом и избирательностью: в числе жертв российские организации из ключевых отраслей экономики и сферы государственного управления. Отмечается, что PhantomCore располагает внушительным наступательным арсеналом: от популярных опенсорсных утилит и обновленных версий известных инструментов до ранее не встречавшихся образцов собственной разработки. Такое разнообразие малвари помогает хакерам долгое время оставаться незамеченными в зараженных сетях. Кроме того, отмечается, что вредоносная инфраструктура группировки строго сегментирована по функциям и классам инструментов, которыми она управляет. География вредоносной инфраструктуры PhantomCore характеризуется тем, что почти половина серверов (48%) расположены в России, преимущественно в сетях трех российских провайдеров. Доля зарубежной инфраструктуры составляет 52% и практически равномерно распределена между Финляндией, Францией, Нидерландами, США, Германией, Гонконгом, Молдавией и Польшей. При этом 33% всей инфраструктуры сосредоточены в сетях канадского провайдера. «Мы предполагаем, что основной всплеск рассматриваемой кампании кибершпионажа произошел в результате эволюции вредоносного арсенала PhantomCore. Вероятно, до конца апреля злоумышленники подготавливали новую серию атак, работая преимущественно над инструментарием. Кроме того, нам удалось обнаружить новое ответвление группировки, не входящее в основное звено и состоящее из низкоквалифицированных специалистов. Предположительно его организовал один из членов основной PhantomCore для наращивания киберпреступной активности и расширения поверхности атаки», — комментирует Виктор Казаков, ведущий специалист группы киберразведки PT ESC TI. В отчете подчеркивается, что эксперты идентифицировали жертв и уведомили их о киберугрозах до наступления недопустимых событий.