14/11/25
Аналитики компании F6 выявили новую кампанию вредоносных рассылок, направленных против российских организаций. Злоумышленники рассылают письма под видом инструкций по действиям при минной угрозе и требований предоставить отчётность по противодействию информационным атакам. Кампания по распространению бэкдора CapDoor получила название CapFIX.
Первая вредоносная рассылка была зафиксирована 11 ноября 2025 года. Целями атаки стали коллекторское агентство, финансовое учреждение и страховая компания. Письма рассылались с использованием подмены адреса почты российского турагентства и имели тему «СРОЧНО: Ознакомление с инструкцией по действиям при минной угрозе».
Во вложении находился файл Инструкция_минная_угроза_ВСУ_10.11.2025.pdf, побуждающий пользователя скачать программный комплекс КриптоПро для корректного отображения документа. Ссылка вела не на заявленный сайт, а на домен, зарегистрированный злоумышленниками — sed-documents[.]com.
При переходе по ссылке на устройство жертвы загружался архив «Пакет установки КриптоПРО.rar», защищённый паролем криптопро2025. В архиве содержался MSI-файл, который распаковывал CAB-файл, устанавливал приложение VB Decompiler Lite и запускал файл architect-stats.exe — настоящий, подписанный цифровой подписью. Он использовался для загрузки вредоносного ПО через технику DLL Side-Loading.
Во время выполнения создавался файл-маркер C:\ProgramData\lockfile, предотвращающий повторный запуск — такой же применялся в предыдущих версиях CapDoor. Бэкдор взаимодействовал с управляющим сервером hxxp://213.165.61.133/search/?text=[a-z]{30}, получая команды на запуск PowerShell-команд, загрузку и выполнение EXE- и DLL-файлов, а также регистрацию DLL-COM-объектов.
Финальная нагрузка представляла собой модифицированную версию CapDoor для x64-архитектуры.
12 и 13 ноября система F6 MXDR зафиксировала повторные рассылки в адрес сетевого ритейлера и финансовых организаций. Новые письма имели темы:
- «СРОЧНО: Требуется предоставить отчётность по прохождению тренинга по противодействию информационным атакам. Срок — 24 часа»;
- «ОБЯЗАТЕЛЬНО К ОЗНАКОМЛЕНИЮ: Инструкция ФСБ по действиям при терактах, совершаемых вооружёнными формированиями Украины».
Прикреплённые PDF-файлы содержали ссылки на загрузку архивов с тем же вредоносным MSI-файлом. В рассылке использовались поддельные адреса российской IT-компании.
Домен sed-documents[.]com, с которого загружался архив, был зарегистрирован 24 сентября 2025 года. Он имеет те же регистрационные данные, что и documents-sed[.]com, зарегистрированный 3 сентября и использовавшийся в более ранних атаках. Аналитики также обнаружили ещё один адрес управляющего сервера — hxxp://94[.]156[.]232[.]113/search/?text=[a-z]{30}.
