В 2024 году Голландское национальное подразделение по борьбе с высокотехнологичной преступностью (NHTCU) запустило международную операцию под названием Operation Endgame. К ней присоединились Канада, Германия и ФБР США. Цель была конкретная: разрушить инфраструктуру вредоносного ПО SocGholish, известного также под именем FakeUpdates. По итогам операции снесено 106 серверов, очищено 14 971 заражённый сайт WordPress, причём подавляющее большинство жертв находилось на территории США. Представитель NHTCU Майкель Роллман прокомментировал это так: «Это лишь начало дальнейших действий против SocGholish».
SocGholish активен с 2017 года и за это время превратился в одного из наиболее устойчивых посредников первичного доступа (Initial Access Broker). Технически это JavaScript-загрузчик, который встраивается в скомпрометированные сайты и показывает пользователям поддельные предложения обновить Google Chrome или Mozilla Firefox. Человек кликает, думая, что обновляет браузер, а на самом деле запускает вредоносный JS-пейлоад. По данным компании Silent Push, заражение происходит двумя способами: либо JS-код внедряется напрямую в страницу, либо через промежуточный JS-файл, который подгружает основную нагрузку.
Важно понять бизнес-модель этой системы. Операторы SocGholish, которых отслеживают под именами TA569, Gold Prelude, Mustard Tempest, Purple Vallhund и UNC1543, сами по себе не занимаются финальными атаками. Они продают доступ к уже заражённым машинам другим преступным группировкам. ФБР прямо описывает эту схему: «Вредоносное ПО создаёт первоначальный плацдарм... который используется злоумышленниками для дальнейших атак с применением программ-вымогателей и кибершпионажа». Среди покупателей этого доступа числятся Evil Corp (она же DEV-0243, Indrik Spider, UNC2165), группировки LockBit, RansomHub, а в ноябре 2025 года компания Arctic Wolf зафиксировала, что группа RomCom использовала SocGholish для доставки импланта Mythic Agent.
Техническая цепочка заражения, которую проследила Orange Cyberdefense вместе с Infoblox, выглядит так: SocGholish (JS-загрузчик) передаёт управление лоадерам Gholoader или MintsLoader, а те уже разворачивают финальные нагрузки: GhostWeaver, LockBit, AsyncRAT, NetSupport RAT, банковский троян Dridex и вормер Raspberry Robin (он же Roshtyak). Выбор конкретного пейлоада диктуется страной жертвы, типом браузера и операционной системой.
Отдельного внимания заслуживает система Traffic Distribution System (TDS). По сути это маршрутизатор трафика: посетители сайта автоматически проверяются по GeoIP, типу браузера, ОС и устройству, после чего «качественные» жертвы перенаправляются к SocGholish, а боты, исследователи или пользователи из «нецелевых» регионов получают обычный контент. ФБР описывает это так: «Киберпреступники используют TDS для обхода традиционных межсетевых экранов... анализа потенциальных жертв... и последующей эксплуатации устройств пользователей в конце цепочки перенаправления». Среди аффилиатов, поставляющих трафик в SocGholish, выделяются TA2726, Parrot TDS и JunkyTDS, использующие коммерческие инструменты Keitaro и zTDS.
Shadowserver Foundation задокументировала отдельный приём, который применяется параллельно с заражением WordPress-сайтов, — Domain Shadowing. Злоумышленники получают доступ к панели DNS-провайдера или регистратора и создают вредоносные поддомены под легитимным доменом. Поддомены получают обычные, ничем не примечательные имена хостов, но указывают на серверы, которые контролируют преступники. Это позволяет паразитировать на репутации уже зарекомендовавшего себя домена и существенно усложняет блокировку. Shadowserver прямо называет это «использованием устоявшейся репутации домена в своих целях».
Компания Proofpoint проанализировала тактику TA569 и пришла к интересному выводу: группа компрометирует сайты неизбирательно, по принципу «чем больше трафика, тем лучше». Целевых отраслей нет — под удар попадают некоммерческие организации, школы, больницы, юридические фирмы, риелторские агентства. Данные Infoblox это подтверждают: за последние пять месяцев в числе жертв оказались правительственные структуры, образовательные учреждения, банки, медицинские организации, IT-консалтинг, транспорт, страховые компании. Около 55% облачных клиентов Infoblox в текущем году пытались обратиться к инфраструктуре SocGholish. Сама компания резюмирует: «SocGholish — не узкоспециализированная угроза... масштабная экосистема охватывает как государственный, так и коммерческий секторы».
После операции правоохранители разослали владельцам 14 971 заражённого сайта уведомления с конкретными требованиями: обновить CMS (ядро WordPress, плагины, темы), сменить все учётные данные (администраторские, FTP, базы данных, хостинг, регистратор), удалить подозрительные учётные записи и проверить DNS-записи на предмет несанкционированных поддоменов. Администраторам сайтов также рекомендуется вручную проверить целостность файлов — особенно файлы тем,
Для рядовых пользователей вывод простой: обновления браузера никогда не приходят в виде всплывающих окон на случайных сайтах. Chrome обновляется через меню «Справка > О браузере Google Chrome», Firefox — аналогично. Любое предложение «обновить браузер», появившееся на сайте, — это социальная инженерия. Для корпоративных защитников ситуация сложнее: нужно мониторить DNS-логи на предмет обращений к новым поддоменам доверенных доменов, блокировать запуск
SocGholish активен с 2017 года и за это время превратился в одного из наиболее устойчивых посредников первичного доступа (Initial Access Broker). Технически это JavaScript-загрузчик, который встраивается в скомпрометированные сайты и показывает пользователям поддельные предложения обновить Google Chrome или Mozilla Firefox. Человек кликает, думая, что обновляет браузер, а на самом деле запускает вредоносный JS-пейлоад. По данным компании Silent Push, заражение происходит двумя способами: либо JS-код внедряется напрямую в страницу, либо через промежуточный JS-файл, который подгружает основную нагрузку.
Важно понять бизнес-модель этой системы. Операторы SocGholish, которых отслеживают под именами TA569, Gold Prelude, Mustard Tempest, Purple Vallhund и UNC1543, сами по себе не занимаются финальными атаками. Они продают доступ к уже заражённым машинам другим преступным группировкам. ФБР прямо описывает эту схему: «Вредоносное ПО создаёт первоначальный плацдарм... который используется злоумышленниками для дальнейших атак с применением программ-вымогателей и кибершпионажа». Среди покупателей этого доступа числятся Evil Corp (она же DEV-0243, Indrik Spider, UNC2165), группировки LockBit, RansomHub, а в ноябре 2025 года компания Arctic Wolf зафиксировала, что группа RomCom использовала SocGholish для доставки импланта Mythic Agent.
Техническая цепочка заражения, которую проследила Orange Cyberdefense вместе с Infoblox, выглядит так: SocGholish (JS-загрузчик) передаёт управление лоадерам Gholoader или MintsLoader, а те уже разворачивают финальные нагрузки: GhostWeaver, LockBit, AsyncRAT, NetSupport RAT, банковский троян Dridex и вормер Raspberry Robin (он же Roshtyak). Выбор конкретного пейлоада диктуется страной жертвы, типом браузера и операционной системой.
Отдельного внимания заслуживает система Traffic Distribution System (TDS). По сути это маршрутизатор трафика: посетители сайта автоматически проверяются по GeoIP, типу браузера, ОС и устройству, после чего «качественные» жертвы перенаправляются к SocGholish, а боты, исследователи или пользователи из «нецелевых» регионов получают обычный контент. ФБР описывает это так: «Киберпреступники используют TDS для обхода традиционных межсетевых экранов... анализа потенциальных жертв... и последующей эксплуатации устройств пользователей в конце цепочки перенаправления». Среди аффилиатов, поставляющих трафик в SocGholish, выделяются TA2726, Parrot TDS и JunkyTDS, использующие коммерческие инструменты Keitaro и zTDS.
Shadowserver Foundation задокументировала отдельный приём, который применяется параллельно с заражением WordPress-сайтов, — Domain Shadowing. Злоумышленники получают доступ к панели DNS-провайдера или регистратора и создают вредоносные поддомены под легитимным доменом. Поддомены получают обычные, ничем не примечательные имена хостов, но указывают на серверы, которые контролируют преступники. Это позволяет паразитировать на репутации уже зарекомендовавшего себя домена и существенно усложняет блокировку. Shadowserver прямо называет это «использованием устоявшейся репутации домена в своих целях».
Компания Proofpoint проанализировала тактику TA569 и пришла к интересному выводу: группа компрометирует сайты неизбирательно, по принципу «чем больше трафика, тем лучше». Целевых отраслей нет — под удар попадают некоммерческие организации, школы, больницы, юридические фирмы, риелторские агентства. Данные Infoblox это подтверждают: за последние пять месяцев в числе жертв оказались правительственные структуры, образовательные учреждения, банки, медицинские организации, IT-консалтинг, транспорт, страховые компании. Около 55% облачных клиентов Infoblox в текущем году пытались обратиться к инфраструктуре SocGholish. Сама компания резюмирует: «SocGholish — не узкоспециализированная угроза... масштабная экосистема охватывает как государственный, так и коммерческий секторы».
После операции правоохранители разослали владельцам 14 971 заражённого сайта уведомления с конкретными требованиями: обновить CMS (ядро WordPress, плагины, темы), сменить все учётные данные (администраторские, FTP, базы данных, хостинг, регистратор), удалить подозрительные учётные записи и проверить DNS-записи на предмет несанкционированных поддоменов. Администраторам сайтов также рекомендуется вручную проверить целостность файлов — особенно файлы тем,
index.php, wp-config.php и папки загрузок на предмет внедрённого JS-кода. Для рядовых пользователей вывод простой: обновления браузера никогда не приходят в виде всплывающих окон на случайных сайтах. Chrome обновляется через меню «Справка > О браузере Google Chrome», Firefox — аналогично. Любое предложение «обновить браузер», появившееся на сайте, — это социальная инженерия. Для корпоративных защитников ситуация сложнее: нужно мониторить DNS-логи на предмет обращений к новым поддоменам доверенных доменов, блокировать запуск
.js и .jse файлов через wscript.exe и cscript.exe, а также следить за индикаторами компрометации, публикуемыми участниками операции.