Пакистанская группировка SideCopy, связанная с кластером Transparent Tribe, провела целевую атаку на Министерство финансов Афганистана с использованием Xeno RAT. Для русскоязычной ИТ-аудитории тут важны сразу две вещи: злоумышленники взяли не экзотический эксплойт, а вполне доступный open-source-инструмент, и упаковали его в аккуратную локализованную приманку на пушту. Это неприятное напоминание о том, что в 2026 году успешная атака по-прежнему часто начинается не с zero-day, а с хорошо написанного письма и одного клика по ярлыку.
О кампании, получившей имя Operation XENOFISCAL, сообщает The Hacker News со ссылкой на разбор Seqrite Labs. По данным исследователя Диксита Панчала, цепочка начинается с ZIP-архива, внутри которого лежит вредоносный LNK-файл с тщательно подобранным именем на пушту. Помимо самого афганского Минфина, целью стали региональные управления по доходам и финансам, чиновники, говорящие на пушту, а также сотрудники провинциального уровня. Выбор языка здесь не декоративная деталь, а признак хорошей разведки по цели: атакующие явно понимают, как устроена среда, в которую они входят.
Технически схема не выглядит фантастикой, и именно поэтому она опасна. После запуска LNK-файл использует штатный для Windows процесс mshta.exe, чтобы подтянуть удаленное HTA-приложение с компрометированного афганского образовательного домена. Дальше в памяти выполняется обфусцированный JavaScript, а для закрепления создается persistence через реестр с маскировкой под Microsoft Edge. Затем жертве подбрасывают и отвлекающий документ, и сам Xeno RAT версии 1.8.7 через DLL-лоадер. То есть вместо шумной атаки с лобовым вскрытием используется аккуратная комбинация из стандартных системных компонентов, социальной инженерии и готового трояна удаленного доступа. Для защитников это плохая новость: такие цепочки часто проходят ниже порога паники, пока на хосте уже не поселился полноценный оператор.
Возможности Xeno RAT тоже вполне взрослые. Троян подключается к удаленному серверу по TCP и умеет принимать команды оператора, подгружать и исполнять внешние DLL-модули, передавать данные, запускаться через scheduled task, собирать сведения об антивирусе, поднимать SOCKS5-туннель, работать с файлами, вести кейлоггинг, делать скриншоты, следить за буфером обмена и обращаться к веб-камере с микрофоном. Плюс у него есть функции удаления собственных механизмов закрепления и самодеинсталляции. Иными словами, Xeno RAT закрывает почти весь набор задач для кибершпионажа: проникнуть, закрепиться, вытащить данные, при необходимости проксировать трафик и потом аккуратно исчезнуть. Для ИБ-команд это означает, что недооценивать open-source-малварь уже давно нельзя: если инструмент лежит в открытом доступе, это не делает его игрушкой.
Контекст у этой истории тоже показательный. SideCopy давно рассматривают как пакистанскую группу под зонтиком Transparent Tribe, также известной как APT36. Она регулярно использует разные семейства вредоносного ПО для кражи чувствительных данных. В апреле 2025 года этой же стороне приписывали серию атак на организации в Индии с применением Xeno RAT, Spark RAT и CurlBack RAT. Новая операция против Афганистана выглядит не отдельным эпизодом, а продолжением более широкой активности против целей в Южной Азии. Меняются конкретные приманки, страны и отрасли, но логика одна и та же: дешево, адресно, с хорошим знанием языка и контекста жертвы. Это, кстати, еще один камень в огород тех, кто до сих пор считает региональную специфику второстепенной. Нет, она уже в центре атаки.
Еще один слой этой истории связан с платформами и форматами файлов. The Hacker News также упоминает другую целевую фишинговую операцию, которую связывают с Transparent Tribe: там для атак на индийскую военную инфраструктуру использовались уже Linux .desktop-файлы, распространявшиеся через социальную инженерию в WhatsApp и приманки, связанные с контрактами на бронетехнику. После запуска такая цепочка приводила к установке Go-бейзированного ELF-импланта, который исследователи отслеживают как DeskRAT. Для бизнеса и разработчиков вывод простой: надежда на то, что опасные сценарии ограничиваются Windows и макросами из прошлого десятилетия, больше не работает. Атакующие нормально чувствуют себя и в Linux-средах, и в мессенджерах, и в сценариях, где формально пользователь сам запускает «документ» или «ярлык».
С практической точки зрения кейс SideCopy интересен не только ИБ-аналитикам. Для ИТ-директоров это аргумент в пользу контроля запуска LNK, HTA и подозрительных системных утилит вроде mshta.exe, которые слишком часто оказываются удобным мостиком между письмом и полезной нагрузкой. Для продуктовых и инфраструктурных команд это напоминание, что защита должна учитывать язык, роль и регион сотрудника: если компания работает на нескольких рынках, шаблоны фишинга будут не на ломаном английском, а на хорошем локальном языке и с правдоподобными темами. Для HR и внутренних коммуникаций сигнал еще прямее: обучение сотрудников должно учитывать реальные сценарии атак, а не ограничиваться плакатом про «не открывайте странные вложения». В этой операции никто не пытался удивить мир магией, злоумышленники просто сделали домашнюю работу лучше, чем многие защитные процессы.
Главный вопрос теперь не в том, появятся ли новые кампании с Xeno RAT, а в том, насколько быстро организации перестроят защиту под такой будничный, но точный стиль атак. Чем доступнее становятся готовые RAT-наборы и чем лучше злоумышленники адаптируют приманки под конкретную бюрократию, язык и отрасль, тем ближе к реальности сценарий, в котором самый опасный компонент атаки — не код, а качество предварительной разведки.