APT-группа HoneyMyte усилила кибершпионаж против России и Азии

Екатерина Быстрова 27 Января 2026 - 13:15

Корпорации

Государство

Лаборатория Касперского

Таргетированные атаки

...

APT-группа HoneyMyte усилила кибершпионаж против России и Азии

APT-группа HoneyMyte снова активизировалась, заметно прокачав свой инструментарий. Об этом рассказали эксперты Глобального центра исследования и анализа угроз «Лаборатории Касперского» (Kaspersky GReAT), изучившие новые кампании кибершпионажа, которые группа вела в 2025–2026 годах.

Под прицелом оказались государственные структуры и частные компании в России, а также в ряде стран Азии — включая Мьянму, Монголию и Таиланд. Судя по всему, HoneyMyte сделала ставку на более глубокое и незаметное наблюдение за целями.

Группа, которую связывают с китайскоговорящей средой, известна специалистам уже несколько лет. Впервые её активность зафиксировали в 2022 году. С тех пор ключевой инструмент HoneyMyte — бэкдор CoolClient — заметно эволюционировал и обзавёлся новыми шпионскими возможностями.

Одна из самых интересных новинок — мониторинг буфера обмена. CoolClient теперь умеет перехватывать содержимое буфера вместе с заголовком активного окна, идентификатором процесса и временной меткой. Это даёт злоумышленникам контекст: какие приложения использует человек, что именно он копирует и в какой момент. По сути, речь идёт о постоянном «подглядывании» за действиями пользователя.

Кроме того, бэкдор научился извлекать учётные данные HTTP-прокси прямо из сетевого трафика, а также работать с подключаемыми плагинами, которые расширяют его функциональность под конкретные задачи атакующих.

В атаках против госорганов в Мьянме и Таиланде HoneyMyte использовала и другие инструменты — в том числе браузерные стилеры и скрипты, предназначенные для сбора системной информации, кражи документов и учётных данных. В отдельных случаях фиксировалось извлечение сохранённых логинов и паролей из Chrome и Microsoft Edge.

Как отмечают в Kaspersky GReAT, комбинация кейлоггинга, контроля буфера обмена, сбора данных из браузеров и перехвата прокси-учёток говорит о том, что активное и длительное наблюдение за пользователями стало для HoneyMyte стандартной тактикой.

«Чтобы противостоять таким группам, организациям нужен высокий уровень готовности и проактивные меры защиты, способные отражать не только классические сценарии утечки данных и закрепления в системе», — подчёркивает Сергей Ложкин, руководитель Kaspersky GReAT в Азии, Африке и на Ближнем Востоке.

Эксперты рекомендуют внимательно отслеживать новые инструменты HoneyMyte и связанные с ними семейства зловредов — PlugX, ToneShell, QReverse и LuminousMoth, а также усиливать мониторинг активности в корпоративных сетях. Подробный технический разбор кампаний уже опубликован на сайте Securelist.

Следующая главная новость »

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 14 Апреля 2026 - 19:59

Ideco NGFW Novum Корпорации Сетевая безопасность Межсетевой экран Межсетевые экраны нового поколения (NGFW) Айдеко

В Ideco NGFW Novum появились новые функции ZTNA, DNS-Security и SD-WAN

Компания Ideco представила обновление межсетевого экрана Ideco NGFW Novum. Новый релиз заметно расширяет функциональность продукта: в него вошли централизованное управление, доработки модуля защиты DNS, новые сценарии ZTNA и встроенные механизмы SD-WAN.

Одним из главных изменений стала платформа Ideco Center для централизованного управления.

В ней появилась поддержка высокопроизводительных контекстов и геораспределённого кластера из двух узлов в разных дата-центрах. При этом отказ одного из узлов, как заявляется, не должен прерывать управление инфраструктурой. Также добавлен централизованный сбор журналов IPS и WAF с возможностью выгрузки в SIEM.

Отдельно доработан модуль DNS-Security. В системе появился журнал DNS-запросов, где можно отслеживать обмен DNS-сообщениями при включённом логировании и активированном модуле защиты. Сам модуль предназначен для выявления угроз, которые не всегда видны обычным механизмам межсетевого экрана, включая DGA-домены, DNS-туннелирование, обращения к управляющей инфраструктуре, фишинговые и недавно зарегистрированные домены.

Изменения затронули и ZTNA-клиент. Теперь пользователя можно привязывать к конкретному устройству, а сертификат использовать как дополнительный фактор авторизации в VPN. Сертификаты можно выпускать через NGFW или использовать собственные. В сочетании с логином, паролем и одноразовым кодом это позволяет собрать многофакторную схему доступа.

В блоке SD-WAN появились SLA-профили. Это означает, что маршрутизация теперь может учитывать параметры вроде задержки, джиттера и потери пакетов. Если канал перестаёт соответствовать заданному профилю, узел NGFW может переключить маршрут. Все такие переключения фиксируются в журнале с указанием причины.

Кроме того, в релиз добавили интеграцию с базой ФинЦЕРТ. Благодаря этому в правилах межсетевого экрана, контент-фильтра и IPS можно использовать соответствующие индикаторы компрометации.

Изменения затронули и кластеризацию. В обновлении заявлены синхронизация FIB-таблицы и состояния LACP-интерфейсов между узлами, поддержка Graceful Restart для BGP и OSPF, синхронизация базы отчётов между нодами, а также ускорение переключения внутри кластера.

В части ИБ-функций добавлены защита от ICMP-туннелирования, авторизация администраторов по SSH-ключу и двухфакторная аутентификация для административного доступа.

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!