С конца 2025 года по март 2026 года российские компании подверглись серии атак хакерской группировки CapFix, которая затронула предприятия из сфер промышленности и авиастроения. CapFix рассылали жертвам фишинговые сообщения с вредоносными вложениями, представляясь различными госструктурами для большей убедительности. Об этом «Газете.Ru» сообщили в пресс-службе компании Positive Technologies, которая и обнаружила упомянутую вредоносную кампанию.
По данным Positive Technologies, активность группировки была зафиксирована специалистами департамента Threat Intelligence экспертного центра безопасности компании в декабре 2025 года. Анализ показал, что злоумышленники использовали усовершенствованные инструменты и скомпрометированную инфраструктуру, доступ к которой, предположительно, получили через эксплуатацию критически опасной уязвимости в почтовом веб-клиенте Roundcube Webmail. Для атак применялись фишинговые письма с PDF- или HTML-файлами, внутри которых находились ссылки на скачивание архивов с вредоносной нагрузкой.
Как отметили эксперты, вложения маскировались в основном под официальные сообщения от государственных структур, а дополнительную эффективность атакам придавало использование скомпрометированных серверов для рассылки вредоносных файлов от имени доверенных источников. По оценке специалистов, злоумышленники могли получить доступ к этой инфраструктуре через уязвимость CVE-2025-49113 в Roundcube Webmail, которая имеет оценку 9,9 по шкале CVSS.
В новых атаках CapFix использует усовершенствованную версию вредоносного ПО CapDoor. Эта программа служит одной из ступеней заражения и позволяет загружать на устройства жертв дополнительные модули, в том числе средство удаленного доступа SectopRAT. Анализ также показал, что CapDoor способен собирать данные о зараженной системе, делать снимки экрана и загружать файлы различных форматов по команде операторов.
Специалист группы киберразведки экспертного центра безопасности Positive Technologies Александр Бадаев заявил, что изначально CapFix рассматривалась как финансово мотивированная группировка, и эта оценка по-прежнему сохраняется с учетом артефактов в фишинговых письмах и обнаруженных атак. При этом, по его словам, выбор целей и используемый инструментарий больше соответствуют действиям APT-группировок или продвинутых хактивистов, на что указывают атаки на промышленные предприятия и авиастроительные компании.
Он также сообщил, что специалисты нашли четыре новых домена, связанных с CapFix, которые пока неактивны, и предположил, что злоумышленники продолжат свою деятельность и могут расширить масштаб операций.
Ранее пользователей видеокарт NVIDIA предупредили о новой хакерской схеме.