В ходе анализа серии атак специалисты Palo Alto Networks (подразделение Unit 42) обнаружили внедрение шифровальщика 4L4MD4R — варианта, созданного на основе открытого исходного кода Mauri870. Его активность напрямую связана с эксплойт-цепочкой под условным названием ToolShell, пишут в Securitylab.
Первая фиксация заражения произошла 27 июля, когда был выявлен загрузчик вредоносного ПО, получающий и запускающий 4L4MD4R с сервера theinnovationfactory[.]it по IP-адресу 145.239.97[.]206. Причиной обнаружения стала неудачная попытка эксплуатации, в ходе которой задействовались PowerShell-команды, направленные на отключение систем мониторинга безопасности. Это позволило специалистам вскрыть архитектуру атаки.
Сам шифровальщик представляет собой упакованный UPX-файл, написанный на языке Go. При запуске он расшифровывает зашифрованный с помощью AES исполняемый файл в памяти, выделяет под него область, загружает туда содержимое и запускает исполнение в отдельном потоке. После этого начинается шифрование данных на заражённой системе, результатом чего становятся файлы с изменённым расширением, список зашифрованного содержимого и текст с требованием выкупа. Сумма выкупа сравнительно невелика — 0.005 биткойна.
Сама эксплойт-цепочка ToolShell, использующая уязвимости CVE-2025-49706 и CVE-2025-49704 , стала объектом интереса сразу нескольких групп, связанных с государственными структурами КНР. По данным Microsoft, атаки ведут как минимум три китайские группировки: Linen Typhoon, Violet Typhoon и Storm-2603. Ранее атаки фиксировались по всему миру: в Северной Америке, Европе, на Ближнем Востоке. Среди пострадавших — Министерство образования США, Национальное управление ядерной безопасности, налоговая служба штата Флорида, законодательное собрание Род-Айленда и правительственные системы нескольких европейских стран.
Изначально признаки атак с использованием ToolShell выявила нидерландская компания Eye Security, задокументировавшая заражение 54 организаций. Однако последующий анализ показал, что это лишь часть картины. По словам технического директора Eye Security Пита Керхофса, заражено не менее 400 серверов, а число скомпрометированных организаций достигло 148 — и всё это с длительным присутствием злоумышленников в инфраструктуре.
Исследователи из Check Point обнаружили, что активность началась как минимум 7 июля. Целями стали государственные структуры, телекоммуникационные компании и технологические организации по всей Западной Европе и Северной Америке. Несмотря на то, что Microsoft закрыла уязвимости в июльском пакете обновлений (Patch Tuesday), атаки продолжились. Компания присвоила новым уязвимостям идентификаторы CVE-2025-53770 и CVE-2025-53771 — это дыры, использовавшиеся для взлома даже полностью обновлённых серверов SharePoint.