Неизвестный турецкий производитель высокоточных ракетных систем стал мишенью группы Patchwork. Злоумышленники использовали фишинговые письма с вредоносными LNK-файлами, замаскированными под приглашения на конференцию по беспилотным системам.

Атака стартовала с PowerShell-команд, скрытно загружающих полезную нагрузку с домена expouav[.]org, созданного 25 июня 2025 года. Для отвлечения внимания жертве показывали поддельный PDF с данными реального мероприятия на waset[.]org, пока в фоне шел процесс внедрения.
Ключевым артефактом стал вредоносный DLL, активируемый через DLL side-loading и задание планировщика. Финальный шелл-код проводил рекогносцировку системы, делал скриншоты и выгружал данные на серверы злоумышленников.
Цель — сбор стратегической разведки — связана с доминированием Турции на 65% мирового рынка БПЛА и разработкой гиперзвуковых ракет. Атака совпала с обострением индийско-пакистанского конфликта и усилением военного альянса Анкары и Исламабада.
Группа Patchwork (также известная как Dropping Elephant, Zinc Emerson) — индийская государственная структура, активная с 2009 года. Её методы эволюционировали: переход с x64 DLL в ноябре 2024 на x86 PE-файлы принес усиленные команды управления и маскировку C2-трафика под легитимные сайты.
Год назад Knownsec 404 Team документировала их атаки на организации Бутана с помощью фреймворка Brute Ratel C4 и бэкдора PGoShell. С начала 2025 года мишенями стали китайские вузы: под видом документов по энергосетям распространялся Rust-загрузчик, дешифрующий троян Protego на C для кражи данных Windows.
В мае компания QiAnXin выявила пересечение инфраструктуры Patchwork и группы DoNot Team (APT-Q-38, Bellyworm), что указывает на возможную оперативную связь между кластерами. Технический анализ атаки на Турцию опубликован Arctic Wolf Labs.

Изображение носит иллюстративный характер
Атака стартовала с PowerShell-команд, скрытно загружающих полезную нагрузку с домена expouav[.]org, созданного 25 июня 2025 года. Для отвлечения внимания жертве показывали поддельный PDF с данными реального мероприятия на waset[.]org, пока в фоне шел процесс внедрения.
Ключевым артефактом стал вредоносный DLL, активируемый через DLL side-loading и задание планировщика. Финальный шелл-код проводил рекогносцировку системы, делал скриншоты и выгружал данные на серверы злоумышленников.
Цель — сбор стратегической разведки — связана с доминированием Турции на 65% мирового рынка БПЛА и разработкой гиперзвуковых ракет. Атака совпала с обострением индийско-пакистанского конфликта и усилением военного альянса Анкары и Исламабада.
Группа Patchwork (также известная как Dropping Elephant, Zinc Emerson) — индийская государственная структура, активная с 2009 года. Её методы эволюционировали: переход с x64 DLL в ноябре 2024 на x86 PE-файлы принес усиленные команды управления и маскировку C2-трафика под легитимные сайты.
Год назад Knownsec 404 Team документировала их атаки на организации Бутана с помощью фреймворка Brute Ratel C4 и бэкдора PGoShell. С начала 2025 года мишенями стали китайские вузы: под видом документов по энергосетям распространялся Rust-загрузчик, дешифрующий троян Protego на C для кражи данных Windows.
В мае компания QiAnXin выявила пересечение инфраструктуры Patchwork и группы DoNot Team (APT-Q-38, Bellyworm), что указывает на возможную оперативную связь между кластерами. Технический анализ атаки на Турцию опубликован Arctic Wolf Labs.