Новая угроза: кибершпионы SiribClone атакуют российских военных
Специалисты российского разработчика технологий для борьбы с киберугрозами F6 исследовали деятельность новой кибершпионской группировки, получившей название SiribClone. Она целенаправленно атакует российских военнослужащих, находящихся на приграничных территориях и в зоне проведения специальной военной операции.
Сгенерировано нейросетью MidjourneyОсновной целью злоумышленников стало получение доступа к Telegram-аккаунтам и распространение вредоносного ПО под видом архивов с документами и мобильных приложений для обмена фотографиями.
SiribClone использует несколько стратегий для достижения своих целей. В первую очередь, они применяют вредоносное ПО, которое собирает личные, технические и географические данные с заражённых устройств. В частности, для пользователей ПК было разработано новое вредоносное ПО, названное SiribGrabber, которое крадёт данные. Зимой 2026 года злоумышленники использовали ZIP-архив с документом о системе информационного взаимодействия, а в мае сменили тактику, начав распространять вредоносное ПО через фейковый сайт движения «Бессмертный полк».
Иллюстрация: F6Для мобильных устройств SiribClone активно применяет методы социальной инженерии. Злоумышленники под видом девушек знакомятся с военнослужащими через приложения для знакомств и предлагают скачать специальное приложение для обмена фотографиями, которое на самом деле является шпионским ПО, получившим название SafeLoveStealer. Это приложение запрашивает минимальные разрешения и незаметно передаёт данные, включая аудио, видео и геопозицию.
Кроме того, SiribClone использует фишинговые страницы для компрометации Telegram-аккаунтов. Эти страницы маскируются под различные сервисы, такие как облачное хранилище Telegram или страницы для получения медицинских анализов. Вводя свои данные на этих страницах, пользователи предоставляют злоумышленникам доступ к своим аккаунтам, что позволяет им читать переписку в реальном времени.
Эксперты F6 Threat Intelligence также обнаружили, что атакующие используют специальное приложение для просмотра сообщений скомпрометированных аккаунтов. В этом приложении отображаются списки аккаунтов, доступ к которым получили злоумышленники, список каналов и чатов каждого из скомпрометированных пользователей, а также «заметки» по ним: краткое описание личности пользователя, его должность и другие сведения. В F6 подчеркнули:
Анализ заметок злоумышленников позволяет сделать вывод, что цель их атак — военнослужащие ВС РФ, находящиеся в приграничных территориях и в зоне проведения СВО. Описание геолокаций атакованных пользователей, упоминание их званий и войсковых частей подтверждает, что задача атакующих — военный шпионаж.
© iXBT
