С середины января 2026 года Microsoft фиксирует активную кампанию по краже учётных данных корпоративных VPN-клиентов. За ней стоит группировка Storm-2561, которая действует из финансовых побуждений и применяет довольно хитрый приём — отравление поисковой выдачи (SEO poisoning). Пользователь ищет в Bing легитимное корпоративное ПО, кликает на одну из первых ссылок и попадает на поддельный сайт. Дальше всё идёт по накатанной.
Впервые активность Storm-2561 зафиксировали ещё в мае 2025 года. Тогда группировка распространяла вредоносное ПО через манипуляции с поисковыми результатами и маскировалась под известных производителей софта. Компания Cyjax первой задокументировала эти кампании. Позже, в октябре 2025-го, исследователи из Zscaler раскрыли обновлённую итерацию атаки, направленную на пользователей, которые искали легитимный софт через поисковик Bing. То, что наблюдают Microsoft Threat Intelligence и Microsoft Defender Experts сейчас, — это уже третья, более изощрённая волна.
Группировка подделывает сайты трёх конкретных вендоров: SonicWall, Hanwha Vision и Pulse Secure (последний сейчас называется Ivanti Secure Access). Один из обнаруженных вредоносных доменов — «ivanti-vpn[.]org». Выглядит достаточно правдоподобно, чтобы не вызвать подозрений у человека, который просто хочет скачать рабочий VPN-клиент.
Механика атаки выстроена грамотно. Жертва находит в поисковике ссылку, переходит на поддельный сайт, откуда её перенаправляют на загрузку ZIP-архива с MSI-установщиком. Файлы при этом размещены на GitHub — платформе, которой большинство людей доверяет по умолчанию. Установщик внешне неотличим от настоящего VPN-клиента, но в процессе инсталляции подгружает вредоносные DLL-библиотеки через технику sideloading.
В ранних кампаниях Storm-2561 использовала загрузчик Bumblebee. Теперь основным инструментом стал Hyrax — вариант инфостилера, заточенный под кражу учётных данных. После установки поддельного VPN-клиента перед пользователем появляется окно авторизации, которое выглядит абсолютно убедительно. Человек вводит свои корпоративные логин и пароль, а Hyrax тут же собирает и отправляет эти данные злоумышленникам.
Отдельного внимания заслуживает то, что происходит после кражи. Жертва видит сообщение об ошибке подключения — ей предлагают скачать «настоящий» VPN-клиент, или же браузер автоматически переадресует на легитимный сайт вендора. Пользователь скачивает нормальный клиент, подключается к VPN, и у него не возникает никаких подозрений. Пароль тем временем уже утёк.
Чтобы обойти защитные механизмы, вредоносные компоненты были подписаны цифровым сертификатом компании «Taiyuan Lihua Near Information Technology Co., Ltd.». Подпись настоящим сертификатом позволяла малвари проскакивать мимо антивирусов и систем контроля.
Microsoft уже предприняла ответные меры. Репозитории на GitHub, через которые распространялись заражённые установщики, удалены. Сертификат «Taiyuan Lihua Near Information Technology Co., Ltd.» отозван, что фактически обезвредило текущую версию атаки. Но нет гарантий, что Storm-2561 не получит новый сертификат и не пересоберёт инфраструктуру.
Рекомендации для организаций и обычных пользователей достаточно просты, хотя следуют им далеко не все. Многофакторная аутентификация на всех учётных записях — первое и самое очевидное. Даже если пароль украден, без второго фактора злоумышленник не пройдёт. Скачивать корпоративный софт нужно только с официальных сайтов производителей, а не по первой ссылке из поисковика. И всегда стоит проверять доменное имя — разница между и может стоить компании очень дорого.
Изображение носит иллюстративный характер
Впервые активность Storm-2561 зафиксировали ещё в мае 2025 года. Тогда группировка распространяла вредоносное ПО через манипуляции с поисковыми результатами и маскировалась под известных производителей софта. Компания Cyjax первой задокументировала эти кампании. Позже, в октябре 2025-го, исследователи из Zscaler раскрыли обновлённую итерацию атаки, направленную на пользователей, которые искали легитимный софт через поисковик Bing. То, что наблюдают Microsoft Threat Intelligence и Microsoft Defender Experts сейчас, — это уже третья, более изощрённая волна.
Группировка подделывает сайты трёх конкретных вендоров: SonicWall, Hanwha Vision и Pulse Secure (последний сейчас называется Ivanti Secure Access). Один из обнаруженных вредоносных доменов — «ivanti-vpn[.]org». Выглядит достаточно правдоподобно, чтобы не вызвать подозрений у человека, который просто хочет скачать рабочий VPN-клиент.
Механика атаки выстроена грамотно. Жертва находит в поисковике ссылку, переходит на поддельный сайт, откуда её перенаправляют на загрузку ZIP-архива с MSI-установщиком. Файлы при этом размещены на GitHub — платформе, которой большинство людей доверяет по умолчанию. Установщик внешне неотличим от настоящего VPN-клиента, но в процессе инсталляции подгружает вредоносные DLL-библиотеки через технику sideloading.
В ранних кампаниях Storm-2561 использовала загрузчик Bumblebee. Теперь основным инструментом стал Hyrax — вариант инфостилера, заточенный под кражу учётных данных. После установки поддельного VPN-клиента перед пользователем появляется окно авторизации, которое выглядит абсолютно убедительно. Человек вводит свои корпоративные логин и пароль, а Hyrax тут же собирает и отправляет эти данные злоумышленникам.
Отдельного внимания заслуживает то, что происходит после кражи. Жертва видит сообщение об ошибке подключения — ей предлагают скачать «настоящий» VPN-клиент, или же браузер автоматически переадресует на легитимный сайт вендора. Пользователь скачивает нормальный клиент, подключается к VPN, и у него не возникает никаких подозрений. Пароль тем временем уже утёк.
Чтобы обойти защитные механизмы, вредоносные компоненты были подписаны цифровым сертификатом компании «Taiyuan Lihua Near Information Technology Co., Ltd.». Подпись настоящим сертификатом позволяла малвари проскакивать мимо антивирусов и систем контроля.
Microsoft уже предприняла ответные меры. Репозитории на GitHub, через которые распространялись заражённые установщики, удалены. Сертификат «Taiyuan Lihua Near Information Technology Co., Ltd.» отозван, что фактически обезвредило текущую версию атаки. Но нет гарантий, что Storm-2561 не получит новый сертификат и не пересоберёт инфраструктуру.
Рекомендации для организаций и обычных пользователей достаточно просты, хотя следуют им далеко не все. Многофакторная аутентификация на всех учётных записях — первое и самое очевидное. Даже если пароль украден, без второго фактора злоумышленник не пройдёт. Скачивать корпоративный софт нужно только с официальных сайтов производителей, а не по первой ссылке из поисковика. И всегда стоит проверять доменное имя — разница между и может стоить компании очень дорого.
