Эксперты Positive Technologies зафиксировали новую волну атак группировки CapFix на российские организации. Кампания длилась с конца 2025 года по март 2026 года, и за это время хакеры успели обновить инструментарий и обзавестись скомпрометированной инфраструктурой — предположительно через критическую уязвимость в почтовом веб-клиенте Roundcube Webmail.
Целями атак на этот раз стали компании из промышленной и авиастроительной отраслей. Схема заражения выглядела следующим образом: жертва получала фишинговое письмо с PDF- или HTML-вложением, внутри которого была ссылка на скачивание архива с малварью. Письма были замаскированы преимущественно под официальные сообщения от государственных структур.
Особую эффективность атакам придавало то, что рассылка исходила с легитимных взломанных серверов — от имени доверенных источников. Исследователи считают, что доступ к этим серверам группировка получила через эксплуатацию CVE-2025-49113 — критической уязвимости в Roundcube Webmail.
В декабре прошлого года специалисты детально разобрали один из сценариев атаки CapFix. Вредоносный PDF-документ предлагал пользователю повторно скачать файл, который якобы был поврежден. При клике скачивался архив с CHM-скриптом, который загружал с взломанного домена файл под именем a.gif, переименовывал его в dmitry_medvedev.msi и тихо запускал.
MSI-файл был подписан сертификатом QILING Tech и притворялся утилитой QILING Disk Master — при запуске разворачивался папку в AppData, выгружал туда набор DLL и подключался к управляющему серверу через уязвимый к DLL sideloading исполняемый файл.
Исследователи пишут, что в марте 2026 года группировка возобновила активность с обновленной версией вредоноса CapDoor. Он выступает одной из ступеней заражения: собирает информацию о системе, делает скриншоты, загружает файлы по команде своих операторов, а также подгружает следующий пейлоад, в частности, троян удаленного доступа SectopRAT.
Кроме того, эксперты выяснили, что CapFix атакует не только российские компании. В ноябре 2025 года в публичные песочницы попало более 10 образцов CapDoor, которые загружали пользователи из Мексики, США, Нидерландов, Франции и ряда других стран. В более ранних кампаниях для доставки вредоноса использовалась криптовалютная тематика, а также фишинговые сайты с техникой ClickFix, имитирующие сервисы бронирования отелей.
Специалист группы киберразведки PT ESC Александр Бадаев отметил, что группировка изначально выглядела финансово мотивированной и по-прежнему остается таковой по ряду признаков. Однако выбор целей и инструментарий CapFix все больше напоминают почерк APT-группировок или продвинутых хактивистов:
«CapFix изначально рассматривалась как финансово мотивированная группировка, и мы все еще считаем ее таковой, учитывая артефакты в фишинговых письмах и обнаруженные атаки. Но нельзя не отметить, что выбор целей и инструментарий действительно больше соответствуют действиям APT-группировок или продвинутых хактивистов, о чем свидетельствуют атаки на промышленные предприятия и авиастроительные компании. Кроме того, мы обнаружили четыре новых домена, связанных с CapFix, которые на данный момент неактивны. Мы предполагаем, что хакеры продолжат свою активность и, возможно, расширят масштаб операций».
