По данным совместного расследования «Лаборатории Касперского» и организации Bi.Zone, хакерские группы вновь начали активно применять вредоносный бэкдор PipeMagic. Специалисты по IT-безопасности зафиксировали изменения в подходах операторов этого ПО и расширение списка их целей. 

Активность PipeMagic впервые выявлена в декабре 2022 года при атаках на азиатские компании. Затем, на момент конца 2024 года, жертвами вредоносной кампании стали структуры в Саудовской Аравии. Уже в 2025 году профессионалами была отмечена новая фаза работы киберпреступников, связанную с этим инструментом.

По информации исследователей, злоумышленники по-прежнему нацеливаются на корпорации в Саудовской Аравии, но при этом расширяют географию поражения. Особое внимание хакеры проявили к бразильским промышленным компаниям. Анализ позволил проследить эволюцию PipeMagic и зафиксировать обновления в тактике киберпреступников.

Как выяснилось, главным оружием хакеров стала проблема CVE-2025-29824. Хотя Microsoft весной 2025 года закрыла более сотни дыр в безопасности, именно ее решили задействовать атакующие и немедленно взяли на вооружение. Брешь позволяла незаметно повышать права доступа в Windows до админуровня, открывая дорогу к выводу данных и их дальнейшей зашифровке на зараженных устройствах.

Помимо этого, специалисты выявили обновлённые версии загрузчика PipeMagic, которые мимикрировали под приложение ChatGPT. Подобный прием уже применялся в атаках на ближневосточные компании в 2024 году, и теперь он возвращается в ещё более изощрённой форме.

Эксперты подчёркивают: очередная атака демонстрирует не только активное использование старых наработок, но и постоянную эволюцию вредоносного инструментария. В версии 2024 года PipeMagic получил функции для закрепления в сетевой инфраструктуре и облегчения бокового перемещения внутри корпоративных систем — всё это делает атаки более опасными и тяжело уловимыми.

Здесь можно узнать, как действовать при взломе учетной записи.