28/07/25
Основной целью атакующих, по оценке аналитиков, стало получение чувствительной информации о разработках в области беспилотных платформ и гиперзвуковых вооружений, пишет Securitylab.
По данным Arctic Wolf Labs, вредоносная цепочка состоит из пяти этапов и начинается с рассылки LNK-файлов (ярлыков Windows), маскирующихся под приглашения на международную конференцию по беспилотной технике. Эти письма были адресованы сотрудникам предприятий, работающих в сфере ВПК Турции, включая производителя высокоточного ракетного оружия.
Геополитический контекст придаёт атаке особую значимость: её запуск совпал с углублением военно-технического сотрудничества между Турцией и Пакистаном, а также на фоне обострения конфликта между Пакистаном и Индией. Согласно ряду аналитиков, Patchwork действует в интересах индийского государства и с 2009 года систематически атакует политические и военные цели в странах Южной Азии.
В начале 2025 года та же группировка провела кампанию против китайских вузов, используя в качестве приманок документы, связанные с энергетикой. Тогда применялся загрузчик на языке Rust, расшифровывавший и исполнявший троян на C#, известный как Protego, предназначенный для сбора данных с заражённых машин.
Актуальная атака на турецкие оборонные организации вновь использует LNK-файлы, встраивающие команды PowerShell. Скрипты инициируют подключение к удалённому серверу expouav[.]org — домен был зарегистрирован 25 июня 2025 года и используется как точка доставки полезной нагрузки. Помимо вредоносного кода, сайт содержит PDF-документ, имитирующий материалы международной конференции, формально ссылающийся на реально существующее мероприятие, проводимое на платформе WASET. Это позволяет отвлечь пользователя визуально достоверной «обёрткой», пока скрипты работают в фоне.
Дальнейшие действия ведут к загрузке DLL-библиотеки, запускаемой методом DLL side-loading — подменой легитимного компонента в доверенном процессе. Её выполнение инициализируется запланированным заданием в планировщике задач Windows, запускающим внедрённый шеллкод. Этот модуль проводит разведку окружения: собирает системную информацию, делает скриншоты экрана и отправляет данные на C2-сервер.
Отличительной чертой новых операций стало использование 32-битных PE-файлов вместо ранее задействованных 64-битных DLL. Это свидетельствует об эволюции технической базы и попытке повысить уровень маскировки: компактные x86-бинарники легче внедрять в доверенные процессы, а изменение архитектуры усложняет автоматическое выявление угроз.
Исследователи также обнаружили признаки пересечения инфраструктуры Patchwork с элементами, ранее ассоциировавшимися с группировкой DoNot Team (APT-Q-38, Bellyworm), что может указывать на тактическое или логистическое сотрудничество между двумя индийскими APT-кластерами.
Кампания против оборонной отрасли Турции знаменует расширение зоны интересов Patchwork, ранее сосредоточенной в Южной Азии, пишут в Securitylab. Учитывая ключевую роль Турции на рынке БПЛА (страна обеспечивает около 65% глобального экспорта), а также её стремление развивать гиперзвуковое оружие, активность индийской кибершпионской группы выглядит стратегически мотивированной.
