Обнаружена сложная кампания кибершпионажа, нацеленная на украинские организации, причём аналитики по угрозам связывают эту активность с действиями, вероятно, связанными с Россией. Согласно подробному отчёту команды разведки угроз LAB52 испанской кибербезопасностной компании S2 Grupo, кампания, наблюдавшаяся в феврале 2026 года, распространяет новый бэкдор на основе JavaScript под кодовым названием DRILLAPP. Это вредоносное ПО уникальным образом злоупотребляет функциями отладки и командной строки веб-браузера Microsoft Edge для скрытной работы, обеспечивая широкий спектр возможностей шпионажа, включая эксфильтрацию файлов, аудиозапись через микрофон и захват изображений с веб-камеры.
Методология атаки использует социально сконструированные приманки на темы судебных разбирательств и благотворительности, в частности, ссылаясь на установку услуг Starlink или пожертвования украинскому фонду «Повернись живим». Первоначальный вектор заражения включает файл ярлыка Windows (LNK), который при выполнении создает HTML-приложение (HTA) во временной папке системы. Это HTA затем загружает удалённый, обфусцированный JavaScript-полезную нагрузку, размещённую на легитимном сервисе Pastefy. Для обеспечения устойчивости вредоносные файлы LNK копируются в папку автозагрузки Windows, гарантируя повторную активацию бэкдора после каждой перезагрузки системы.
Критический технический аспект этой кампании — злоупотребление ключами командной строки Microsoft Edge. Браузер запускается в headless-режиме (без графического интерфейса) с параметрами, такими как `--no-sandbox`, `--disable-web-security` и `--allow-file-access-from-files`. Что более опасно, ключи вроде `--use-fake-ui-for-media-stream` и `--disable-user-media-security` используются для тихого предоставления вредоносному скрипту доступа к микрофону, камере и функции захвата экрана системы без вывода каких-либо запросов на согласие пользователя. Эта техника эффективно превращает браузер Edge в мощный, скрытный инструмент наблюдения.
Было оценено, что кампания имеет значительное сходство с предыдущими активностями, приписываемыми группе угроз Laundry Bear (также отслеживаемой как UAC-0190 или Void Blizzard), которая ранее атаковала украинские оборонные силы с помощью вредоносного ПО PLUGGYAPE. Повторное использование тематических приманок и схожих цепочек атаки указывает на постоянную эволюцию тактик со стороны устойчивого противника, сфокусированного на сборе разведданных внутри Украины. Использование легитимного сервиса, такого как Pastefy, для размещения скриптов командования и управления подчёркивает тенденцию к методам «living-off-the-land», которые смешивают вредоносную активность с обычным сетевым трафиком, чтобы избежать обнаружения.
Этот инцидент подчёркивает растущую изощрённость атак на основе браузеров, когда доверенным приложениям злоумышленники находят оружие в их собственных функциях. Он служит критическим напоминанием для организаций, особенно в высокорисковых секторах и регионах, о необходимости внедрения надежных политик контроля приложений, мониторинга необычных аргументов командной строки при запуске браузеров и поддержания повышенной осведомлённости о фишинговых кампаниях, эксплуатирующих текущие события и гуманитарные темы. Стратегии глубокой эшелонированной защиты должны развиваться, чтобы противостоять этому злоупотреблению легитимными двоичными файлами и ПО (LOLBins).
