Письмо от Microsoft Account Team с предупреждением о подозрительной активности: кто-то якобы пытается сгенерировать одноразовые пароли для вашей учётной записи. Срочно откройте вложение и разберитесь. Звучит убедительно? Именно на это и рассчитывают хакеры из северокорейской группировки ScarCruft (она же APT37). Их новая фишинговая кампания, замеченная экспертами Genians Security Center, маскируется под официальные уведомления безопасности Microsoft, а вместо документа в письме — ZIP-архив с трояном удалённого доступа NarwhalRAT. Зловред написан на Python, умеет перехватывать нажатия клавиш, снимать скриншоты, записывать звук с микрофона — и при этом работает прямо в оперативной памяти, не оставляя следов на диске. Разбираемся, как работает эта многоступенчатая атака и чем она опасна для корпоративных пользователей.
Северокорейская хакерская группа ScarCruft (APT37), активная как минимум с 2012 года, традиционно специализируется на кибершпионаже. В новой кампании злоумышленники используют метод spear-phishing — точечные атаки на конкретных пользователей, чаще всего из корпоративного сектора.
Жертва получает письмо, оформленное в стиле фирменных сообщений корпорации. Текст пугает получателя якобы зафиксированными попытками генерации одноразовых паролей и намёкает на компрометацию аккаунта. Пользователю предлагают открыть вложение и срочно разобраться с угрозой.
«Письмо было разработано, чтобы вызвать беспокойство по поводу возможной компрометации учётной записи и злоупотребления OTP, тем самым побуждая получателя открыть вложение», — сообщает Genians Security Center.
Вместо ожидаемого документа жертва получает ZIP-архив со скрытым внутри ярлыком Windows формата LNK. Запуск этого ярлыка активирует многоступенчатую цепочку, конечной целью которой становится развёртывание трояна на машине.
Технический разбор атаки, проведённый Genians Security Center, выявил несколько этапов работы вредоноса:
Ярлык LNK запускает скрытые скрипты загрузки, используя для маскировки подстановку переменных окружения CMD. Затем с удалённых узлов подтягиваются вспомогательные модули — в частности, легитимный исполняемый файл Python с официального сайта и Windows-каталог безопасности (CAT-файл). Вся активность маскируется под обычную установку ПО: Pythonw.exe переименовывается в usersscreen.exe, чтобы подавить появление консольного окна.
Для закрепления в системе создаётся запланированная задача Windows с названиями вроде MicrosoftUserInterfacePicturesUpdateTackMachine или MicrosoftMusicLibrariesPackageTaskMachine. Подобные строки внешне напоминают служебные процессы операционной системы и не вызывают вопросов у рядового пользователя при беглом просмотре планировщика. Интервал выполнения — всего одна минута.
Основная нагрузка разворачивается прямо в оперативной памяти, без записи на диск. Это заметно усложняет работу классических антивирусов, которые ориентированы на сканирование файлов на диске.
Название зловреда возникло из-за пути, по которому программа складывает украденные данные. Каталог %APPDATA%\naverwhale подделан под папку южнокорейского браузера Naver Whale. Это помогает прятать активность среди легитимного содержимого профиля пользователя. Созданной папке присваиваются атрибуты «Скрытый» и «Системный».
«NarwhalRAT оценивается как продвинутое RAT-зловред, который в первую очередь нацелен на корейских пользователей», — отмечают аналитики Genians. Выбор именно корейского браузера для маскировки косвенно подтверждает географию целей кампании. Более того, в коде трояна обнаружена отдельная обработка оконных идентификаторов, связанных с корейским мессенджером KakaoTalk.
NarwhalRAT заметно отличается от прошлого фирменного инструмента ScarCruft под названием RokRAT. Новый зловред получил более продуманную архитектуру, объединяет несколько загрузчиков, исполнение кода в памяти, разветвлённую систему управления и выборочный сбор данных под конкретную цель.
NarwhalRAT написан на Python и предоставляет операторам полный контроль над заражённой машиной. Среди возможностей трояна:
перехват нажатий клавиш на клавиатуре (кейлоггинг); скрытое снятие скриншотов рабочего стола, в том числе в высоком разрешении; запись звука с микрофона устройства; сбор сведений об активных окнах и процессах; считывание содержимого подключаемых USB-носителей; выполнение произвольных команд от операторов (система с более чем 30 префиксами команд); выгрузка файлов с заражённой машины; отправка собранных материалов на управляющий сервер.
Перед запуском троян проверяет, не работает ли он в виртуальной среде (VMware, VirtualBox, Parallels Desktop), чтобы избежать анализа в песочнице — типичный признак APT-уровня угрозы.
Управление трояном идёт по нескольким каналам сразу. Для связи операторы задействуют взломанные корейские сайты с легитимной репутацией, включая daehoat[.]com и novel21[.]co.kr, а также облачную платформу pCloud, которая выступает резервным каналом для передачи команд и слива добытых файлов.
Опора на популярные облака даёт атакующим сразу несколько преимуществ: трафик зловреда сливается с обычным пользовательским потоком; блокировка инфраструктуры на уровне корпоративного периметра становится сложнее; репутация облачных доменов мешает срабатыванию защитных списков; логи сетевых событий выглядят рутинно для дежурных аналитиков; ответные меры со стороны провайдера занимают заметно больше времени.
Ранее, в мае 2026 года, злоумышленники похитили секреты GitHub Actions Microsoft и получили доступ к внутренним механизмам разработки компании. Именно эти учётные данные, как сообщается, были использованы в новой атаке, в результате которой вредоносный код был размещён в 73 репозиториях Microsoft на GitHub, а также затронул инфраструктуру Azure и ещё несколько крупных организаций внутри платформы.
Эксперты напоминают, что подобные кампании рассчитаны прежде всего на пользователей корпоративного сектора. Письмо с темой про подозрительный вход выбивает человека из рабочего ритма и подталкивает к необдуманным действиям. Внешний вид сообщения от Microsoft нужно проверять по двум-трём независимым признакам, а не только по логотипу и шрифтам. Любые вложения с расширением LNK внутри архивов должны автоматически блокироваться почтовым шлюзом, без права открытия конечным сотрудником. Поведенческий мониторинг процессов и контроль создаваемых запланированных задач остаются рабочим способом поймать NarwhalRAT уже после проникновения. Регулярные тренировки команд по реагированию на фишинг под бренды крупных вендоров заметно снижают вероятность успешной атаки в реальной обстановке.
По материалам cisoclub.ru