Positive Technologies: разоблачены хакеры CapFix, атаковавшие авиастроение РФ

С конца 2025 года по март 2026 года российские компании подверглись серии атак хакерской группировки CapFix, которая затронула предприятия из сфер промышленности и авиастроения. CapFix рассылали жертвам фишинговые сообщения с вредоносными вложениями, представляясь различными госструктурами для большей убедительности.

Об этом "Газете.Ru" сообщили в пресс-службе компании Positive Technologies, которая и обнаружила упомянутую вредоносную кампанию.

По данным Positive Technologies, активность группировки была зафиксирована специалистами департамента Threat Intelligence экспертного центра безопасности компании в декабре 2025 года. Анализ показал, что злоумышленники использовали усовершенствованные инструменты и скомпрометированную инфраструктуру, доступ к которой, предположительно, получили через эксплуатацию критически опасной уязвимости в почтовом веб-клиенте Roundcube Webmail. Для атак применялись фишинговые письма с PDF- или HTML-файлами, внутри которых находились ссылки на скачивание архивов с вредоносной нагрузкой.

Как отметили эксперты, вложения маскировались в основном под официальные сообщения от государственных структур, а дополнительную эффективность атакам придавало использование скомпрометированных серверов для рассылки вредоносных файлов от имени доверенных источников. По оценке специалистов, злоумышленники могли получить доступ к этой инфраструктуре через уязвимость CVE-2025-49113 в Roundcube Webmail, которая имеет оценку 9,9 по шкале CVSS.

В новых атаках CapFix использует усовершенствованную версию вредоносного ПО CapDoor.

Эта программа служит одной из ступеней заражения и позволяет загружать на устройства жертв дополнительные модули, в том числе средство удаленного доступа SectopRAT. Анализ также показал, что CapDoor способен собирать данные о зараженной системе, делать снимки экрана и загружать файлы различных форматов по команде операторов.

Специалист группы киберразведки экспертного центра безопасности Positive Technologies Александр Бадаев заявил, что изначально CapFix рассматривалась как финансово мотивированная группировка, и эта оценка по-прежнему сохраняется с учетом артефактов в фишинговых письмах и обнаруженных атак. При этом, по его словам, выбор целей и используемый инструментарий больше соответствуют действиям APT-группировок или продвинутых хактивистов, на что указывают атаки на промышленные предприятия и авиастроительные компании.

Он также сообщил, что специалисты нашли четыре новых домена, связанных с CapFix, которые пока неактивны, и предположил, что злоумышленники продолжат свою деятельность и могут расширить масштаб операций.