Исследователи обнаружили активную кампанию кибершпионажа HelloNet против крупных российских организаций. Атакующие используют компонент обновления ViPNet, закрепляются в Windows, разворачивают скрытые прокси-серверы, выполняют команды и удаляют следы своей работы.
Кампания действует как минимум с мая 2026 года. Среди выявленных целей — организации госсектора, промышленные предприятия, энергетические компании, транспортно-логистические структуры и образовательные учреждения. Названия пострадавших организаций и точное количество заражённых систем не раскрываются.
Ирония действительно есть: ViPNet предназначен для построения защищённых корпоративных сетей, а злоумышленники приспособили его механизм обновления для распространения вредоносного кода. Технически это не означает компрометацию официальных серверов разработчика или заражение штатных дистрибутивов.
Для начала атаки преступникам требовался уже захваченный узел с установленным ViPNet Administrator внутри доверенной сети. С него через транспортный протокол mftp отправлялся специально подготовленный конверт, который выглядел как обычное обновление и эксплуатировал ошибку обработки относительных путей.
Раскрытая схема состоит из нескольких этапов. Первоначальный способ проникновения на управляющий узел исследователи публично не описали. После его компрометации атакующие получали возможность отправлять другим компьютерам в сети поддельные обновления с произвольной вредоносной нагрузкой.
Такой подход превращает доверительные отношения между внутренними узлами в средство доставки вредоноса. Получатель видит данные, пришедшие через привычную корпоративную инфраструктуру, а не прямое подключение с неизвестного адреса в интернете.
Разработчик ViPNet сообщил, что атака использует уязвимость обработки относительных путей. Подготовленный конверт позволяет нарушить целостность рабочей среды, повысить привилегии и запустить произвольный код на целевом компьютере.
Исследователи изучили одну из заражённых машин и нашли файл wtsapi32.dllв каталоге:
C:\Program Files (x86)\InfoTeCS\VIPNet Update System
Эта папка относится к системе обновления ViPNet. Вредоносная библиотека размещалась рядом с легитимным файлом itcsrvup64.exe, который автоматически запускается вместе с операционной системой.
Атакующие применили подмену динамической библиотеки, или DLL Sideloading. При такой атаке легитимная программа ищет необходимую DLL в предсказуемых каталогах и по ошибке загружает вредоносный файл, размещённый рядом.
Цифровая подпись исполняемого файла при этом может оставаться действительной: сам файл программы никто не меняет. Вредоносный код находится в отдельной библиотеке, которую доверенное приложение подхватывает во время запуска.
В HelloNet легитимный компонент обновления ViPNet загружал wtsapi32.dll. Библиотека содержала первый вредоносный модуль цепочки — HelloInjector.
Такой вариант запуска удобен для длительного закрепления. Служба обновления стартует автоматически, работает в привычном для системы каталоге и выглядит менее подозрительно, чем неизвестная программа из временной папки пользователя.
HelloInjector проверяет, в каком процессе выполняется его код. Если это не svchost.exe, загрузчик просматривает работающие процессы и ищет экземпляр svchost, запущенный с группой служб netsvcs.
После обнаружения подходящей цели вредонос внедряет туда код через системные функции NtWriteVirtualMemory и NtCreateThreadEx. Следующая полезная нагрузка запускается уже внутри стандартного системного процесса Windows.
Внедрение в svchost.exe усложняет анализ происходящего. Этот процесс постоянно присутствует в Windows и обслуживает множество системных компонентов. Обычный контроль списка запущенных программ может не показать ничего очевидно лишнего.
Для защитных средств важна не просто работа svchost.exe, а источник внедрения. Штатный процесс обновления ViPNet не должен записывать код в память системных процессов и создавать в них новые потоки. Такая цепочка считается одним из наиболее характерных признаков HelloNet.
Следующим компонентом становится HelloProxy. Он одновременно выполняет функции прокси-сервера и загрузчика дополнительных модулей.
Вредонос перехватывает системные операции с сетевыми сокетами через библиотеку Microsoft Detours. Обработчики мешают приложениям преждевременно закрывать соединения с управляющей инфраструктурой и позволяют HelloProxy анализировать входящий трафик.
HelloProxy начинает прослушивать порты 5003 и 5060. Для распознавания команды управления используется примитивное рукопожатие: имплант отправляет два байта 0x0502, после чего ожидает строку ASDFASFSAFASDF.
После успешной проверки модуль может открыть прокси-соединение к указанному адресу либо получить новый исполняемый файл, загрузить его прямо в память и запустить в отдельном потоке. Запись на диск в такой ситуации не обязательна.
Прокси-функция позволяет использовать заражённую машину как промежуточную точку. Через неё атакующие могут обращаться к другим узлам внутренней сети, скрывая внешний источник подключения и обходя часть сетевых ограничений.
Одной из дополнительных нагрузок стал HelloExecutor — инструмент удалённого выполнения команд. Его применяли для первичной разведки внутри заражённых организаций.
Команды собирали информацию об активных пользователях, сетевых интерфейсах, локальных учётных записях, группах Windows и содержимом каталогов. Отдельный интерес представляли папки ViPNet Administrator, ViPNet Client и каталоги экспорта сетевых настроек.
Вредонос запускал обычные системные средства:
query user
ipconfig /all
net user
net group
dir
Использование встроенных инструментов Windows уменьшает количество дополнительных файлов на диске. Этот приём часто называют «жизнью за счёт системы»: злоумышленник применяет уже установленное ПО, которое само по себе не является вредоносным.
На заражённых компьютерах обнаружили легитимную консольную утилиту Plink из комплекта PuTTY. Атакующие переименовали её в frontpage.exe и разместили в пользовательском каталоге.
Утилита запускала обратный SSH-туннель от внутренней инфраструктуры к внешнему серверу. Через него преступники могли получать доступ к сервисам, которые напрямую недоступны из интернета.
Поиск одного имени frontpage.exe здесь недостаточен. Файл можно переименовать как угодно. Системам обнаружения стоит проверять внутреннее имя PE-файла, сведения о версии и командную строку с параметрами перенаправления портов.
В опубликованных индикаторах фигурируют управляющие адреса5.39.253[.]206 и 176.32.34[.]135. Их обнаружение в старых журналах требует отдельного расследования, но отсутствие соединений с этими адресами не гарантирует чистоту системы: инфраструктура атакующих могла измениться.
Ещё один компонент получил название HelloCleaner. Его задача — очищать журналы программного обеспечения ViPNet и затруднять восстановление хронологии атаки.
Удаление событий особенно опасно при длительной кибершпионской операции. Даже после обнаружения заражения специалисты могут не увидеть первоначальную доставку поддельного обновления, последующие команды и попытки перемещения по сети.
Исследователи также зафиксировали команды на удаление файлов, изменение служб Windows и подмену легитимной службы Application Management. Вредонос создавал собственную службу на базе svchost.exe, добавлял параметры в реестр и маскировал её под стандартный компонент операционной системы.
На одной из заражённых систем обнаружили самостоятельный бэкдор HelloBackdoor, созданный на языке Rust.
Он принимает TCP-подключения на порту 443 и ждёт специальную последовательность 47c6235b4d2611184. Без неё соединение не активирует управляющие функции. После проверки атакующие могут загружать файлы на компьютер, скачивать их, останавливать бэкдор или выполнять произвольные команды через cmd.exe.
Использование порта 443 само по себе не делает соединение легитимным. Этот порт обычно занят HTTPS-трафиком, поэтому он удобен для маскировки среди большого количества обычных сетевых подключений.
Сетевой сенсор может искать первую характерную команду активации HelloBackdoor. Такой признак гораздо точнее простой проверки наличия соединения по порту 443.
В одном из образцов исследователи нашли неиспользуемый HTTP-запрос к китайскому новостному порталу Sina. В строках HelloBackdoor также сохранились ссылки на китайское зеркало репозитория пакетов Rust.
Эти артефакты позволили предположить связь HelloNet с неизвестной китайскоязычной APT-группой. Уровень уверенности остаётся низким: строки могли попасть в код случайно либо быть оставлены намеренно для ложной атрибуции.
Надёжных данных о конкретном операторе кампании, его заказчике и географическом расположении пока нет. Технические совпадения сами по себе не доказывают происхождение атаки.
Предыдущую масштабную кампанию обнаружили в апреле 2025 года. Тогда бэкдор распространялся в архивах .lzh, структура которых соответствовала обновлениям ViPNet.
Архив содержал служебный файл action.inf, легитимную программу lumpdiag.exe, вредоносный загрузчик msinfo32.exe и зашифрованную полезную нагрузку. Компонент обновления обрабатывал архив и запускал легитимный файл, который через подмену пути исполнения активировал вредонос.
Та кампания затронула десятки крупных российских организаций, включая структуры государственного, финансового и промышленного секторов. Разработчик подтвердил целевую атаку, выпустил обновления и рекомендации для пользователей.
HelloNet представляет собой отдельную кампанию с новым набором инструментов. Общая черта двух операций — злоупотребление доверенным механизмом обновления внутри защищённой сети.
«ИнфоТеКС» выпустил исправление и рекомендации для организаций, использующих ViPNet Client 4.
На узлах с управляющим программным обеспечением сертифицированную сборку ViPNet Client 4 необходимо обновить до версии 4.5.3, сборка 65211, или новее. Для релизной ветки указана версия 4.5.5, сборка 24733, которую разработчик готовил к публикации на момент обновления уведомления 17 июля 2026 года.
Организациям также следует проверить остальные компьютеры сети. Разработчик рекомендует отказаться от ViPNet Client ниже версий 4.5.3.65160 и 4.5.5.23984 и обновить ViPNet Administrator после выхода соответствующей сборки.
Особое внимание требуется сетям, связанным с внешними защищёнными контурами, администрирование которых выполняют другие организации. Компрометация управляющего узла в одной доверенной сети может создать риск для связанных узлов.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.