Операция CargoTalon: российскую авиаотрасль атакует вредонос EAGLET

Эксперты SEQRITE Labs APT-Team выявили целевую кибератаку на сотрудников Воронежского авиазавода (ВАСО), одного из ключевых предприятий в российской авиаотрасли. Кампания получила название Operation CargoTalon. Злоумышленники использовали классическую, но хорошо замаскированную схему с фишинговыми письмами.

Письма якобы отправлялись от логистической компании и содержали тему о подготовке к доставке груза. В теле письма находился файл backup-message-10.2.2.20_9045-800282.eml с вложением в виде архива: Транспортная_накладная_ТТН_№391-44_от_26.06.2025.zip. На деле это был DLL-файл, замаскированный под ZIP.

К письму также прилагался LNK-файл с тем же названием, запускавший PowerShell-скрипт. Скрипт искал DLL в папках %USERPROFILE% и %TEMP%, запускал его через rundll32.exe, а затем открывал ложный Excel-файл, чтобы не вызывать подозрений.

Файл-приманка — ранспортная_накладная_ТТН_№391-44_от_26.06.2025.xls — имитировал отчёт об осмотре контейнера (EIR) от компании «Облтранстерминал», находящейся под санкциями США. В нём были указаны повреждения и схемы, оформленные по стандартам российской военной логистики.

Главная цель атаки — внедрение вредоносного компонента под названием EAGLET. Это DLL-модуль на C++, ориентированный на кибершпионаж. Он собирает информацию о системе, создаёт директорию C:\ProgramData\MicrosoftAppStore для закрепления в системе и подключается к удалённому серверу по адресу 185.225.17.104 (Румыния, MivoCloud SRL). Связь осуществляется через HTTP с подменой User-Agent на «MicrosoftAppStore/2001.0».

Команды передаются через GET-запросы, а результаты — через POST. Среди возможностей: удалённое выполнение команд, загрузка и выгрузка файлов.

Инфраструктура частично пересекается с активностью группировки TA505, хотя прямой связи обнаружено не было. При этом в SEQRITE отмечают, что инструменты EAGLET перекликаются с уже известным вредоносом PhantomDL, отслеживаемым «Лабораторией Касперского» в рамках кампании Head Mare.

Кроме атаки на ВАСО, специалисты выявили похожие случаи фишинга с прикрытием в виде документов о контрактах, направленных в военкоматы. Некоторые из них связываются с другими C2-серверами, включая 188.127.254.44 (ASN 56694).

По совокупности признаков атаку Operation CargoTalon приписывают группировке UNG0901, работающей совместно с Head Mare и нацеленной на предприятия в сфере обороны и авиации. Вредонос распознаётся как trojan.49644.SL.

По мнению SEQRITE, эта кампания демонстрирует высокий уровень продуманности: от использования легитимных инструментов Windows (LOLBins) до встроенных приманок и модульного C2-протокола. Всё это — часть растущей волны атак на критическую инфраструктуру России. Индикаторы компрометации приводим ниже: