Positive Technologies зафиксировала новую волну атак группировки CapFix

Эксперты Positive Technologies выявили новые атаки хакерской группировки CapFix, продолжавшиеся с конца 2025 года по март 2026-го. Хакеры использовали усовершенствованные инструменты и скомпрометированную инфраструктуру, доступ к которой, вероятно, получили через эксплуатацию критически опасной уязвимости в почтовом веб-клиенте Roundcube Webmail. Анализ атак, проводимых осенью 2025 года, показал, что целью злоумышленников были российские компании из сфер промышленности и авиастроения.

В декабре 2025-го специалисты департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC TI) обнаружили хакерскую кампанию против российских организаций. Эксперты выяснили, что за вредоносной активностью стоит группировка CapFix, которая атаковала пользователей с помощью фишинговых писем. Они содержали PDF- или HTML-файлы, внутри которых находились ссылки для скачивания архивов со зловредной нагрузкой. Вложения были замаскированы преимущественно под официальные сообщения от государственных структур.

Исследование показало, что во время атак осенью 2025 года группировка направляла фишинговые письма российским компаниям, работающим в сфере промышленности и авиастроения.

Значительно повышало эффективность атак и то, что хакеры использовали скомпрометированные серверы для рассылки вредоносных файлов от имени доверенных источников. Эксперты предполагают, что злоумышленники получили к ним доступ через эксплуатацию критически опасной уязвимости в почтовом веб-клиенте Roundcube Webmail (CVE-2025-49113, оценка по шкале CVSS — 9,9).

В новых атаках группировка применяет усовершенствованную версию вредоносного ПО CapDoor. Этот инструмент служит одной из ступенью заражения и позволяет загружать на устройства жертв дополнительные вредоносные модули, например программу для удаленного доступа SectopRAT. Анализ показал, что CapDoor обладает расширенной функциональностью: он может собирать информацию о зараженной системе, делать снимки экрана и загружать файлы различных форматов по команде операторов.

Кроме того, специалисты обнаружили более ранние образцы вредоноса, при доставке которых для маскировки использовалась криптовалютная тематика. В ноябре 2025 года более 10 подобных образцов ВПО были загружены в публичные песочницы пользователями из Мексики, США, Нидерландов, Франции и других стран. Помимо этого, были найдены фишинговые сайты с техникой ClickFix, имитирующие сервисы бронирования отелей.

«CapFix изначально рассматривалась как финансово мотивированная группировка, и мы все еще считаем ее таковой, учитывая артефакты в фишинговых письмах и обнаруженные атаки. Но нельзя не отметить, что выбор целей и инструментарий действительно больше соответствуют действиям APT-группировок или продвинутых хактивистов, о чем свидетельствуют атаки на промышленные предприятия и авиастроительные компании. Кроме того, мы обнаружили четыре новых домена, связанных с CapFix, которые на данный момент неактивны. Мы предполагаем, что хакеры продолжат свою активность и, возможно, расширят масштаб операций», — отмечает Александр Бадаев, специалист группы киберразведки экспертного центра безопасности Positive Technologies.

Специалисты Positive Technologies продолжают отслеживать деятельность группировки CapFix и призывают организации усилить меры защиты от целевых атак. Особое внимание следует уделить многоуровневой защите корпоративного почтового сервиса. Рекомендуется своевременно обновлять ПО, обучать сотрудников распознавать фишинговые письма, а также внедрять решения для обнаружения аномальной активности в сети.