Ташкент, Узбекистан — Узбекистан вошел в число основных целей масштабной фишинговой кампании, которую проводит хакерская группировка xplogs22. Об этом сообщила компания F6, специализирующаяся на разработке технологий противодействия киберпреступности.
По данным специалистов департамента киберразведки (Threat Intelligence) F6, за последние 12 месяцев злоумышленники разослали более 2900 вредоносных электронных писем. Помимо Узбекистана, в число основных целей кампании вошли Россия, Казахстан, Армения, Азербайджан и Беларусь.
Согласно исследованию, группировка действует как минимум с ноября 2023 года и проводит массовые фишинговые атаки на организации в различных странах. С июля 2025 года злоумышленники используют троян удаленного доступа XWorm, тогда как ранее применяли вредоносные программы SnakeKeylogger и стилер FormBookFormgrabber.
Для проведения атак используются письма, замаскированные под деловую переписку. Чаще всего они содержат темы «Договор», «Contract», «Проект договора», «Payment receipt», «Копия платежа» и другие сообщения, связанные с контрактами и платежными документами. Во вложениях находятся архивы с вредоносными файлами, запуск которых приводит к заражению устройства.
Для повышения эффективности кампании злоумышленники используют адреса электронной почты в различных национальных доменных зонах, включая домен .uz, выдавая письма за сообщения местных организаций.
В F6 также отметили, что с июля 2025 года xplogs22 изменила способы распространения вредоносного программного обеспечения. Помимо исполняемых файлов, группировка начала использовать загрузчики с расширениями .vbs, .hta и .bat.
Еще одной особенностью атак стало применение методов стеганографии, при которых вредоносный код скрывается внутри графических файлов. По оценке специалистов, такой подход позволяет обходить часть средств защиты и после успешного заражения получать удаленный доступ к системе жертвы.
