PhantomPyramid: новый бэкдор на Python атакует российское машиностроение

В марте 2025 года группа Head Mare провела серию целевых атак на российские промышленные предприятия, о чём сообщила «Лаборатория Касперского». По её данным, рассылку с вредоносным вложением получили более 800 сотрудников из примерно 100 организаций. Среди пострадавших оказались компании, занятые в приборостроении и машиностроении.

Атака осуществлялась через электронные письма, которые приходили от имени некоего секретариата. В письмах содержалась просьба подтвердить получение информации и ознакомиться с вложенной «заявкой», представленной в виде ZIP-архива. Открытие архива приводило к запуску вредоносного файла, маскирующегося под официальный документ с запросом на ремонт оборудования от одного из министерств.

Особенностью этой кампании стало использование техники polyglot, позволяющей создавать файлы, которые могут одновременно восприниматься как безвредные документы, изображения или исполняемые файлы. Такое поведение зависит от контекста открытия. Эта техника применяется для обхода систем автоматического анализа и впервые была зафиксирована в арсенале Head Mare.

Вредоносная часть polyglot-файла содержит неизвестный ранее бэкдор, получивший название PhantomPyramid. Он написан на языке Python версии 3.8. Среди компонентов, загружаемых при его выполнении, обнаружено программное обеспечение MeshAgent — агент удалённого управления из открытого решения MeshCentral. Хотя это ПО является легитимным и используется многими организациями, ранее оно также применялось злоумышленниками, в частности группой Awaken Likho.