В современном мире киберугрозы развиваются с невероятной скоростью, используя все более изощрённые методы атаки, чтобы получить доступ к конфиденциальным данным и информационным системам. Одним из последних и опаснейших примеров стал вредоносный софт под названием XDigo, замеченный в масштабных кампаниях, нацеленных на государственные организации на территории Восточной Европы. Эта угроза представляет собой яркий пример того, как уязвимости в операционных системах, в частности в обработке файлов Windows LNK, могут стать фундаментом для сложнейших многоступенчатых атак, направленных на кражу данных и нарушение работы критически важных систем. Исследования, проведённые специалистами французской кибербезопасной компании HarfangLab, выявили новый этап в эволюции вредоносного ПО, основанного на языке программирования Go, которое активно использовалось в марте 2025 года для проникновения в сети государственных учреждений Восточной Европы. Ключевым элементом атаки стали тщательно продуманные ярлыки Windows (LNK файлы), которые служили своеобразным триггером для запуска дальнейших вредоносных действий.
История связана с кибершпионским комплексом под названием XDSpy, известным с 2011 года и направленным, как правило, на государственные ведомства Восточной Европы и Балканских стран. Изначально обнаруженный в 2020 году белорусским CERT, этот кибероператор уже несколько лет демонстрирует свою активность, постоянно совершенствуя средства и методы атак. Последние кампании включают использование семейств вредоносного ПО такого плана, как UTask, XDDown и DSDownloader, которые способны загружать дополнительные вредоносные компоненты и извлекать важную информацию с заражённых компьютеров. Особое внимание заслуживает уязвимость Microsoft Windows, получившая классификацию ZDI-CAN-25373, раскрытая в марте 2025 года инициативой Zero Day Initiative компании Trend Micro. Эта уязвимость возникает при обработке специально сформированных LNK файлов.
Проблема заключается в том, что вредоносный код, встроенный в ярлык, может оставаться невидимым для пользователя при стандартном просмотре, создавая иллюзию безопасности. Поскольку Windows выполняет вредоносные инструкции в контексте текущего пользователя, злоумышленники получают возможность осуществить удалённое исполнение кода и, следовательно, контроль над системой. Технический анализ выявил множество деталей, демонстрирующих изощрённость зловреда. В частности, эксперты нашли девять образцов LNK файлов, которые эксплуатируют неточность реализации MS-SHLLINK версии 8.0 в Windows 11.
Согласно официальной спецификации, максимально допустимая длина строки внутри LNK файла составляет 65 535 символов, однако операционная система ограничивает её 259 символами. Эта несогласованность приводит к тому, что некоторые LNK файлы, которые с точки зрения стандарта являются некорректными, тем не менее, успешно обрабатываются и запускаются Windows, что открывает возможности для обмана и маскировки команд. Эта несовпадающая логика парсинга приводит к возможности создания таких LNK файлов, которые визуально демонстрируют одну команду, но на деле запускают совершенно другую. В сочетании с техникой вставки избыточных пробелов, злоумышленники могут спрятать настоящую выполняемую команду как от глаз пользователя, так и от сторонних средств анализа. Применение такой техники затрудняет обнаружение вредоносного ПО и позволяет атакам оставаться незамеченными длительное время.
Сами LNK файлы были распространены внутри нескольких уровней сжатых ZIP архивов. Каждый архив содержал скрытые компоненты атаки: PDF документ-приманку, переименованный легитимный исполняемый файл и заражённую динамическую библиотеку (DLL), которая загружалась под видом легального ПО. Эта DLL — первый этап загрузчика под названием ETDownloader — выполняла задачу по скачиванию основных компонентов вредоносного комплекса. Анализ инфраструктуры, целей атак и используемых приёмов свидетельствует о том, что основной внедряемый стелс-имплант — XDigo, вероятно, представляет собой обновлённую версию вредоносного ПО под названием «UsrRunVGA.exe», описанного специалистами Kaspersky в октябре 2023 года.
XDigo — это типичный стилер, который умеет не только извлекать файлы с заражённого устройства, но и сохранять содержимое буфера обмена, делать скриншоты экрана, а также удалённо запускать команды и бинарные файлы, получаемые через HTTP GET запросы. Для передачи данных используется HTTP POST, что позволяет злоумышленникам беспрепятственно получать украденную информацию без излишнего подозрения системы защиты. Одним из подтверждённых мест атаки стал регион Минска, однако анализ артефактов и инфраструктуры указывает на масштабное нацеливание на российские ритейл-группы, финансовые структуры, крупные страховые компании и государственные почтовые сервисы. Такой профиль идеально согласуется со стратегией кибершпионажа XDSpy, направленной на получение конфиденциальной информации государственных служб и стратегически важных секторов экономики. Особый интерес представляет и тот факт, что злоумышленники создали механизмы обхода систем обнаружения, включая попытки уклонения от решений Sandbox от российской компании PT Security, специализирующейся на защите государственных и финансовых учреждений.
Это свидетельствует о высоком уровне подготовки атакующих и серьёзных инвестициях в разработку многослойных средств маскировки и защиты вредоносного ПО. Развёрнутые атаки с использованием XDigo и связанных с ним компонентов демонстрируют не только технические возможности зарубежных киберпреступников, но и указывают на сложную региональную динамику кибершпионажа. Восточная Европа традиционно является одним из центров геополитических конфликтов, и информационная война там достигает опасных масштабов. Современные кибератаки становятся не просто инструментом финансового обогащения, а стратегическими операциями, направленными на подрыв устойчивости государств и получение конкурентных преимуществ. Для укрепления защиты от подобных угроз организациям и государственным учреждениям необходимо усиливать механизмы сложного анализа потенциально вредоносных файлов, совершенствовать процессы обнаружения аномалий в работе систем, а также своевременно обновлять программное обеспечение, закрывая известные уязвимости.
