Эксперты Kaspersky GReAT (Глобальный центр исследования и анализа угроз) выявили возобновление активности группировки PassiveNeuron — сложной кибершпионской кампании, ориентированной на государственные, финансовые и промышленные структуры. Атаки велись с декабря 2024 года по август 2025 года и затронули организации в Азии, Африке и Латинской Америке. Целевые сети содержали критически важные системы: управление доступом, базы данных, корпоративную почту и инфраструктуру удалённого доступа.

Отличительная черта кампании — фокус на серверах под управлением Windows Server. Эти машины часто являются ключевыми узлами в корпоративных сетях: контроллеры домена, серверы терминалов, шлюзы удалённого доступа. Их компрометация открывает путь к перемещению внутри сети, эскалации привилегий и долгосрочному сохранению доступа.

В ходе атак злоумышленники применяли три основных инструмента:
— Cobalt Strike — стандартный для APT-групп фреймворк для управления эксплуатацией;
— Neursite — новый модульный бэкдор, способный собирать системную информацию, управлять процессами и перенаправлять трафик через скомпрометированные хосты. Образцы Neursite обнаружены в нескольких вариантах: одни взаимодействуют с внешними командными серверами, другие — с внутренними реле, что усложняет отслеживание;
— NeuralExecutor — кастомизированный имплант на .NET, поддерживающий несколько протоколов связи и способный загружать и выполнять сборки .NET, полученные с C2-сервера. Это позволяет злоумышленникам динамически расширять функциональность без необходимости повторной установки.

Анализ TTPs (Tactics, Techniques and Procedures) указывает на связь с китайскоязычной APT-группой, хотя степень уверенности остаётся низкой. В некоторых образцах кода функции были помечены строками с кириллическими символами — вероятно, это попытка дезинформировать следствие. Такие тактики характерны для продвинутых акторов, стремящихся замедлить атрибуцию и создать ложное впечатление о географии происхождения.

Первоначальное заражение, как правило, происходило через уязвимости в интернет-экспонированных сервисах: веб-интерфейсы управления, VPN-шлюзы, системы удалённого администрирования. После получения доступа злоумышленники внедряли Neursite или NeuralExecutor, маскировали свою активность под легитимный трафик и двигались по сети, используя учётные данные администраторов.

Для снижения рисков «Лаборатория Касперского» рекомендует:
— Минимизировать экспозицию серверов в интернете, особенно тех, где установлены устаревшие или неофициально обновляемые решения;
— Регулярно обновлять ПО, применять строгие политики аутентификации и двухфакторную защиту;
— Внедрять платформы класса XDR — например, Kaspersky Symphony XDR — для централизованного мониторинга, корреляции событий и автоматического реагирования;
— Использовать Kaspersky Threat Intelligence как источник актуальных данных о TTPs, IOCs и поведении APT-групп;
— Проводить регулярные тренинги для сотрудников через платформы вроде Kaspersky Automated Security Awareness Platform, чтобы снизить эффективность социальной инженерии.

Комплексная защита должна включать не только технические средства, но и операционные практики: ограничение прав, сегментация сетей, контроль за изменением конфигураций и анализ поведения пользователей. Только такой подход позволяет обнаруживать атаки на ранних этапах, когда злоумышленник ещё не получил полный контроль над инфраструктурой.