Вам письмо из «налоговой»: группировка Silver Fox атаковала российские организации с использованием новых инструментов

Эксперты «Лаборатории Касперского» проанализировали новую волну кибератак группировки Silver Fox, обнаруженную в январе 2026 года. Кампания затронула российские организации, в частности из сфер промышленности, консалтинга, торговли и транспорта.

Жертвы получали вредоносные электронные рассылки, замаскированные под официальные уведомления от налоговой службы. С начала января по начало февраля было зафиксировано более 1600 подобных писем. Злоумышленники обновили инструментарий: использовали ранее неизвестные загрузчики и Python-бэкдор, который исследователи назвали ABCDoor. В случае заражения атакующие могли получить удалённый доступ к устройствам и красть конфиденциальные данные организации.  

Ранее Silver Fox атаковала предприятия в Азии из таких отраслей, как телекоммуникации, энергетика, логистика, финансы. В конце 2025 года группировка впервые обратила внимание на российские компании. 

Старая легенда — новые методы. Жертвам приходит письмо якобы от налоговой службы, которая, как уверяют злоумышленники, обнаружила у организации серьёзные «нарушения». Похожая легенда уже встречалась в декабре 2025 года, однако в январе 2026 года группа обновила схему. Например, вместо вредоносного архива атакующие теперь прикрепляют к письмам PDF-документ, внутри которого содержатся ссылки для его скачивания. Это уловка используется для того, чтобы попытаться обойти защитные почтовые фильтры и заразить компьютер жертвы. 

Новый бэкдор ABCDoor. В январской кампании злоумышленники расширили инструментарий: через уже известный бэкдор ValleyRAT, который ранее использовался в атаках, они запускали ABCDoor — новый бэкдор, написанный на языке программирования Python. Он позволяет удалённо управлять системой, записывать нажатия клавиш, загружать и скачивать файлы, транслировать одновременно несколько экранов жертвы в близком к реальному времени, получать доступ к буферу обмена, а также обновлять себя. Кроме того, для загрузки ValleyRAT использовалась модифицированная, ранее неизвестная версия RustSL: злоумышленники впервые применили её в конце декабря 2025 года. 

«Социальная инженерия сыграла ключевую роль в данной кампании — группировка воспользовались тем, что люди обычно доверяют уведомлениям от официальных ведомств, например от налоговой службы. При этом Silver Fox применила многоступенчатый подход к доставке основной вредоносной нагрузки, а также задействовала разные адреса и домены. Это повышает опасность подобных атак, поскольку такой метод позволяет злоумышленникам минимизировать риск обнаружения и блокировки всей цепочки атаки», — комментирует Антон Каргин, эксперт Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского»). 

Для защиты от подобных атак «Лаборатория Касперского» также рекомендует: 

регулярно повышать уровень цифровой грамотности сотрудников. В этом помогут специализированные курсы или тренинги;

использовать решение, которое будет автоматически блокировать подозрительные письма, проверять запароленные архивы и использовать технологию CDR;

предоставлять ИБ-специалистам доступ к данным о киберугрозах, чтобы оставаться в курсе актуальных техник, тактик и процедур злоумышленников;

использовать комплексные продукты, которые позволят выстроить гибкую и систему безопасности, включая обеспечение надёжной защиты рабочих мест, сбор и анализ данных о событиях безопасности со всех источников в инфраструктуре, выявление и остановку атак любой сложности на ранних стадиях и обучение сотрудников базовым навыкам цифровой грамотности.