Специалисты компании F6 сообщили об активности ранее неизвестной кибершпионской группировки SiribClone, которая атакует российских военнослужащих. Злоумышленники используют сразу несколько схем атак: угоняют Telegram-аккаунты с помощью фишинга, распространяют шпионское ПО для Android через социальную инженерию и заражают ПК малварью, маскируя ее под документы на военную тематику.
По данным исследователей, первые следы активности группы относятся к лету 2025 года. Тестирование собственных инструментов злоумышленники начали в декабре прошлого года, а в январе–феврале 2026 года специалисты зафиксировали атаки на военнослужащих через мессенджеры и сайты знакомств.
Основной целью SiribClone является сбор личных данных, геолокации, переписок, контактов и другой информации, представляющей интерес для военной разведки.
Исследование началось в феврале 2026 года с обнаружения архива «Решение по СВОДУ.zip». Внутри находился LNK-файл, замаскированный под документ Word на военную тематику. При запуске он открывал файл-приманку и одновременно загружал с GitHub вредоносный PowerShell-скрипт.
В итоге специалисты обнаружили ранее неизвестную малварь для Windows, получившую название SiribGrabber. Вредонос использует утилиту rclone для кражи данных и автоматически выгружает на серверы операторов документы, фотографии, видео, архивы и другие файлы. Для закрепления в системе малварь создает BAT- и PowerShell-скрипты и добавляет их в автозагрузку через реестр.
В ходе дальнейшего расследования аналитики обнаружили несколько GitHub-профилей, тестовые конфигурации вредоносов и управляющую инфраструктуру группировки. Особый интерес, по словам специалистов, представлял внутренний инструмент атакующих под названием «КОНТУР», предназначенный для работы с похищенными Telegram-сессиями.
Система позволяла просматривать сообщения скомпрометированных пользователей и содержала заметки по конкретным жертвам. В них злоумышленники указывали геолокацию, должность, звание, принадлежность к воинским частям, а также отмечали, кто из операторов группировки занимался конкретной целью. Подчеркивается, что эти данные прямо указывают на шпионский характер операций SiribClone.
Для компрометации Telegram-аккаунтов злоумышленники использовали десятки фишинговых доменов, замаскированных под облачные сервисы, приглашения в каналы, видеоплатформы и другие легитимные ресурсы. Пользователям предлагали авторизоваться через Telegram, после чего атакующие получали sessionString — специальный токен, обеспечивающий доступ к аккаунту без повторного ввода кода подтверждения.
Кроме того, отдельное направление атак было связано с социальной инженерией. Под видом волонтеров или девушек, желающих познакомиться, злоумышленники вступали в переписку с военнослужащими через Telegram и другие платформы.
После установления доверительных отношений с жертвами, им отправляли ссылки на якобы безопасные сервисы обмена фотографиями, облачные хранилища или формы для получения гуманитарной помощи. В действительности пользователям предлагалось установить вредоносные APK-файлы с названиями вроде Safeintim.apk. Обнаруженный Android-вредонос специалисты назвали SafeLoveStealer.
SafeLoveStealer классифицируется как шпионское ПО, так как после установки приложение собирает сведения об устройстве, данные о сети и Wi-Fi, геолокацию, фотографии, документы, видео- и аудиофайлы. Кроме того, SafeLoveStealer способен записывать звук с микрофона и распознавать речь. По словам исследователей, основная цель вредоноса — получить максимально полный набор личных, технических и географических данных владельца устройства и скрытно передать их своим операторам.
В отчете сообщается, что в мае 2026 года была зафиксирована новая волна активности SiribClone. К примеру, на одном из серверов злоумышленников появился сайт, оформленный в тематике акции «Бессмертный полк». Пользователям предлагали заполнить анкету для участия в онлайн-мероприятии и скачать итоговую заявку. Вместо документов жертвы получали архивы с LNK-файлами, которые запускали обновленную версию SiribGrabber.
В F6 отмечают, что операционная модель SiribClone сочетает социальную инженерию, фишинг, мобильное шпионское ПО и малварь для Windows. По мнению исследователей, группировка продолжает развивать свою инфраструктуру и искать новые способы получения данных военнослужащих ВС РФ.
