Операция CargoTalon: атака на российскую авиационную промышленность через LNK и PowerShell — новый виток кибершпионажа

В середине 2025 года была раскрыта кибершпионская кампания под кодовым названием Operation CargoTalon, нацеленная на предприятия российской авиационно-оборонной отрасли, включая Воронежское акционерное самолётостроительное общество (ВАСО). За операцией стоит ранее не известная группировка, обозначаемая как UNG0901 (Unknown Group 901).

Основные детали атаки

Атака начинается с рассылки фишинговых писем, замаскированных под уведомления о доставке грузов. В письме содержится ZIP-архив с вредоносным LNK-файлом, который:

• активирует PowerShell, открывает поддельный Excel-документ и одновременно устанавливает backdoor — кастомный DLL под названием EAGLET;

• приманка (Excel-файл) содержит ссылки на реальные логистические компании, например, Obltransterminal, попавшую под санкции в 2024 году, что повышает достоверность письма;

• EAGLET собирает информацию о системе и связывается с C2-сервером по IP 185.225.17[.]104;

• взаимодействие с C2 происходит через HTTP и включает получение и выполнение удалённых команд.

Имплант не использует типовые уязвимости, а делает ставку на социальную инженерию и малозаметную доставку вредоносного ПО. В применяемых тактиках чётко прослеживаются элементы из MITRE ATT&CK, включая:

• T1059.001 — выполнение через PowerShell;

• T1566.001 — фишинг с вложениями;

• T1036 — маскировка;

• T1082 — сбор информации о системе;

• T1482 — анализ доверенных доменов;

• T1041 — эксфильтрация через C2-каналы;

• T1537 — передача данных в облачные хранилища.

Вектор угроз и сходства с другими группировками

По мнению аналитиков, CargoTalon может иметь технологическое родство с известными российскими киберструктурами, например, с группой Head Mare. Несмотря на то, что основная цель — российские организации, вектор выглядит схожим с тактикой группы 26165 (GRU), использующей:

• брутфорс;

• эксплуатацию уязвимостей;

• доступ к корпоративным почтовым ящикам для разведки и эксфильтрации.

Защита и рекомендации

Эксперты по кибербезопасности рекомендуют:

• усиливать мониторинг попыток доставки ZIP/LNK-файлов;

• активировать подробное логирование PowerShell;

• отслеживать соединения с подозрительными IP-адресами (например, упомянутый C2);

• после инцидента — менять ключи и проводить форензику даже в случае успешной установки патча.

Источники: The Hacker News • Radar by Offseq • CISA Advisory • Cybersecurity News • Доклад Минобороны США (PDF)

Update: Исправлена опечатка в заголовке.