Эксперты Kaspersky GReAT проанализировали недавнюю активность APT-группы
Эксперты Глобального центра исследования и анализа угроз «Лаборатории Касперского» (Kaspersky GReAT) проанализировали недавнюю активность APT-группы HoneyMyte. В 2025-2026 годах злоумышленники существенно обновили свой инструментарий: добавили шпионские функции в бэкдор CoolClient, а также начали применять браузерные стилеры и вредоносные скрипты для кражи учётных данных, документов и системной информации. В число целей группы вошли госсектор и частные компании в России, а также Мьянме, Монголии, Таиланде и других странах Азии.
Что известно о группе HoneyMyte. Это китайскоговорящая хакерская группа, занимающаяся кибершпионажем. Её активность затрагивает Европу и Азию, преимущественно госсектор. Как и другие APT-группы, HoneyMyte использует разные сложные инструменты, один из которых — бэкдор CoolClient. Впервые он был обнаружен в 2022 году и с тех пор значительно эволюционировал.
Новые шпионские функции бэкдора CoolClient. Одна из новых возможностей бэкдора — мониторинг буфера обмена. Эта функция позволяет получать его содержимое вместе с заголовком активного окна, идентификатором процесса и текущей временной меткой. Таким образом злоумышленники могут отслеживать поведение пользователя, определять, какие он использует приложения, а также получать контекст для похищенных данных. Среди других новых функций CoolClient — возможность извлекать учётные данные HTTP прокси из сетевого трафика. Также эксперты обнаружили несколько активно используемых плагинов для CoolClient. Бэкдор может использовать их, чтобы расширять свою функциональность.
Браузерные стилеры и скрипты для кражи учётных данных и документов. В операциях против госсектора в Мьянме и Таиланде группа использовала новые образцы вредоносного ПО для кражи данных. В нескольких атаках обнаружены скрипты для сбора информации о системе, извлечения документов и кражи учётных данных, сохранённых в браузере. Помимо этого, злоумышленники применяли стилеры, которые позволяют извлекать учётные данные из браузеров Chrome и Microsoft Edge.
«Кейлоггинг, мониторинг буфера обмена, кража учётных данных прокси-сервера, извлечение документов, сбор учётных данных из браузера, делают активное наблюдение за пользователями стандартной тактикой APT-группы. Чтобы этому противостоять, от организаций тоже нужен высокий уровень подготовки и проактивные меры защиты, которые способны отражать не только традиционные угрозы, такие как обычная эксфильтрация данных и закрепление в системе», — комментирует Сергей Ложкин, руководитель Kaspersky GReAT в Азии, Африке и на Ближнем Востоке.
Подробности — на сайте Securelist.
Организациям следует оставаться максимально бдительными и отслеживать новые инструменты HoneyMyte, включая эволюционировавший бэкдор CoolClient и связанные семейства вредоносного ПО, такие как PlugX, ToneShell, QReverse и LuminousMoth. Чтобы защититься от HoneyMyte и других APT-угроз, «Лаборатория Касперского» также рекомендует организациям:
- использовать комплексную защиту компаний от широкого спектра киберугроз, например Kaspersky Symphony. Эта линейка продуктов обеспечивает защиту в режиме реального времени, всеобъемлющую видимость угроз, их исследование и реагирование класса EDR и XDR. Она подходит для организаций любого масштаба и отрасли, поскольку предусматривает несколько уровней защиты в зависимости от потребностей и ресурсов бизнеса;
- использовать решения для управляемой защиты, такие как Kaspersky Compromise Assessment, Kaspersky Managed Detection and Response и/или Kaspersky Incident Response, охватывающие весь цикл реагирования на инциденты — от обнаружения угроз до их устранения. Они помогут противостоять скрытым кибератакам, анализировать инциденты и получать поддержку экспертов;
- предоставлять ИБ-специалистам свежую информацию о новейших тактиках, техниках и процедурах злоумышленников (TTPs). Комплекс сервисов Kaspersky Threat Intelligence — единая точка доступа ко всем данным о киберугрозах, накопленных экспертами «Лаборатории Касперского» более чем за 25 лет.
