Исследователи Check Point Research сообщили о новой целевой кампании ZipLine, в рамках которой против промышленных и высокотехнологичных компаний используется вредонос MixShell. Главная особенность атаки в том, что злоумышленники вместо привычных фишинговых писем начинают контакт через форму “Свяжитесь с нами” на сайте жертвы, после чего неделями ведут переписку, создавая впечатление делового партнёрства. Иногда к переписке добавляются поддельные соглашения о неразглашении. Лишь после этого сотрудникам отправляют ZIP-архив с вредоносом.
Внутри архива находится ярлык Windows, запускающий PowerShell-скрипт. Он загружает в память систему MixShell, не оставляющую файлов на диске и общающуюся с сервером управления через DNS-туннелирование и HTTP. Такой способ позволяет выполнять команды удалённого оператора, передавать и скачивать файлы, организовывать обратный прокси и закрепляться в сети. В некоторых вариантах MixShell дополнен приёмами антиотладки и механизмами обхода песочниц, использует планировщик заданий Windows для сохранения доступа и умеет скрытно загружать дополнительные модули.
Распространение ведётся через поддомены на сервисе herokuapp[.]com, что маскирует активность под легитимный сетевой трафик. При этом ZIP-файл содержит и “приманку” – документ, чтобы не вызвать подозрений. Исследователи отметили, что не все архивы с указанного домена являются вредоносными, что говорит о динамической выдаче файлов в зависимости от жертвы. Дополнительно злоумышленники регистрируют домены с названиями американских LLC или используют ранее существовавшие компании, а сайты оформляют по одному шаблону, что указывает на масштабность и продуманность операции.
Атаки затронули компании из США, Сингапура, Японии и Швейцарии. Основной интерес проявлен к промышленному производству, машиностроению, металлообработке, выпуску компонентов и инженерных систем. Помимо этого, целью становятся организации из сферы полупроводников, потребительских товаров, биотехнологий и фармацевтики. Такая выборка показывает стремление атакующих воздействовать на ключевые звенья глобальной цепочки поставок. По словам Check Point, инфраструктура кампании пересекается с активностью, ранее зафиксированной Zscaler и Proofpoint в операциях TransferLoader, связанных с кластером UNK_GreenSec.
Опасность ZipLine заключается не только в риске кражи интеллектуальной собственности, но и в угрозе внедрения шифровальщиков, компрометации корпоративной почты, мошеннических транзакций и нарушений в цепочках поставок. Отдельно подчёркивается использование в письмах актуальных тем, связанных с внедрением ИИ и оптимизацией расходов, что делает предложения особенно правдоподобными для целевых компаний.
Check Point отмечает, что эта кампания демонстрирует новое поколение социальной инженерии – без запугивания и спешки, но с опорой на доверие и деловые процессы. Такая тактика позволяет злоумышленникам обходить традиционные фильтры и снижает настороженность сотрудников.