Цель злоумышленников — кибершпионаж
«Лаборатория Касперского» выявила новую хакерскую группу — Geo Likho. По данным портала киберразведки Kaspersky Threat Intelligence Portal, злоумышленники совершают сложные целевые атаки на российские организации из различных сфер ради кибершпионажа. В их числе — госсектор, образовательные учреждения и промышленность, но основной упор делают на авиационную индустрию и судоходные компании. В 2026 году группа сосредоточилась преимущественно на России, что делает Geo Likho актуальной угрозой для отечественных предприятий.
Что известно о Geo Likho. Среди отличительных черт злоумышленников — создание уникальных вредоносов для каждой цели, а также использование VBE-скриптов, что нетипично для современных злоумышленников. Атакующие стремятся надолго закрепиться в скомпрометированной инфраструктуре, чтобы вести наблюдение за целью и похищать данные — они могут сохранять там своё присутствие в течение нескольких недель или даже месяцев.
Ретроспективный анализ позволяет отнести к этой группе вредоносные кампании со шпионским троянцем Batavia, которые «Лаборатория Касперского» исследовала с марта 2025 года.
Как происходит атака. В качестве вектора первоначального доступа злоумышленники используют целевой фишинг: жертве присылают письмо, в котором просят ознакомиться с неким договором, для этого якобы нужно перейти по ссылке, которая выглядит как путь к официальному документу. Если нажать на эту ссылку, на компьютер жертвы загружается вредоносный VBE-скрипт и запускается незаметное трёхступенчатое заражение. Это позволяет злоумышленникам собирать данные на компьютере и съёмных носителях жертвы: например, системные журналы, презентации и другие офисные файлы, изображения, а также периодически делать снимки экрана. Geo Likho похищает у организаций не только документы, но и дополнительную информацию: список установленных программ, драйверов и компонентов операционной системы.
«Действия группы характеризуются тщательной подготовкой и ориентацией на конкретные страны: только за последние семь месяцев злоумышленники провели более 200 атак в России. В 2025 году наблюдались отдельные заражения в Германии, Сербии, Гонконге — скорее всего случайные, поскольку почти все фишинговые письма и файлы-приманки были написаны на русском языке. В ходе исследования мы также обнаружили, что Geo Likho начала создавать вредоносные утилиты под конкретную инфраструктуру жертвы. Это говорит о том, что злоумышленники вкладывают значительные ресурсы в разработку собственных инструментов», — комментирует Алексей Шульмин, эксперт по кибербезопасности в «Лаборатории Касперского».
Подробнее о Geo Likho — в статье на Securelist.ru.
Защитные решения «Лаборатории Касперского», такие как Kaspersky Endpoint Detection and Response Expert, успешно обнаруживают вредоносную активность в рамках описанных атак и детектируют её в том числе как: HEUR:Trojan.VBS.Batavia.gen, HEUR:Trojan-Spy.Win32.Batavia.gen, HEUR:Trojan-Spy.Win64.Batavia.gen, HEUR:Trojan.VBS.Bits.gen, HEUR:Trojan-Downloader.VBS.Agent.gen.
Эксперты «Лаборатории Касперского» продолжают отслеживать активность Geo Likho и для защиты от этой киберугрозы рекомендуют организациям:
· предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например с помощью решений Threat Intelligence;
· применять комплексные защитные решения, такие как Kaspersky Symphony, которые позволят выстроить гибкую и эффективную систему безопасности;
· обучать сотрудников цифровой грамотности. В этом помогут специализированные курсы или тренинги, например на платформе Kaspersky Automated Security Awareness Platform.
