Компания F6, специализирующаяся на борьбе с киберпреступностью, обнаружила масштабную фишинговую кампанию группировки xplogs22, направленную против организаций в странах СНГ и других регионах. Среди ключевых целей злоумышленников оказались Узбекистан, Россия, Казахстан, Армения, Азербайджан и Беларусь.

За последние 12 месяцев хакеры отправили более 2900 вредоносных писем, маскируя их под обычную деловую переписку. Чаще всего сообщения имитировали письма о договорах, платежах и финансовых документах с темами вроде «Договор», «Contract», «Проект договора», «Payment receipt» и «Копия платежа».

Вложения в таких письмах содержали архивы с вредоносными файлами. После их запуска устройство заражалось, а злоумышленники получали возможность удаленного управления системой.

По данным F6, группировка действует как минимум с ноября 2023 года. Ранее xplogs22 использовала вредоносные программы SnakeKeylogger и FormBook Formgrabber, однако с июля 2025 года перешла на троян удаленного доступа XWorm версий 6.0 и 7.1.

Кроме того, хакеры усовершенствовали методы атак: теперь во вложениях применяются не только исполняемые файлы, но и загрузчики с расширениями .vbs, .hta и .bat. Для обхода систем защиты злоумышленники также используют стеганографию, скрывая вредоносный код внутри изображений.

Особую опасность представляет использование поддельных адресов отправителей в национальных доменных зонах, включая .uz. Это позволяет злоумышленникам выдавать письма за сообщения от местных компаний и повышать вероятность успешного заражения.