Post #4322

Гоффи Участники китайской группировки GOFFEE сосредоточили свои силы на организациях из РФ. Исследователи заметили, что ещё с 2022 года в ходе кампаний против российских организаций группировка применяла модифицированный зловред Owowa. В 2024 они использовали изменённые версии explorer.exe через целевой фишинг. Спустя полгода хакеры начали эксплуатировать непубличный Mythic shell-агент PowerTaskel и PowerModul. Теперь же они рассылают документы Word со скриптами VBA для заражения устройств. Прикреплённый файл является модифицированной explorer.exe, аналогичной той, что использовалась в начале 2024 года. Она содержит шелл-код, похожий на тот, что применялся ранее. В ходе атак преступники также задействуют PowerModul для установки зловредов. Большинство китайских групп традиционно имеет пророссийскую направленность, однако GOFFEE атакует строительные организации, СМИ, энергетическую отрасль и госсектор РФ. НеКасперский