El grupo de hackers CapFix llevó a cabo una serie de ataques dirigidos a empresas industriales y de construcción de aviones rusas. Los atacantes enviaron correos electrónicos de phishing con archivos adjuntos en PDF y HTML, disfrazados de documentos del FSB, el Ministerio de Defensa y otras estructuras estatales. Los ataques fueron registrados por especialistas de Positive Technologies.
Dentro de los archivos adjuntos se ocultaban enlaces a archivos con el backdoor CapDoor. El malware se infiltraba en el sistema a través de una cadena de múltiples etapas de DLL sideloading, ocultaba su presencia, recopilaba datos sobre la máquina infectada y se comunicaba cada dos minutos con el servidor de comando a través de un canal encriptado ChaCha20. Por orden del operador, CapDoor hacía capturas de pantalla, ejecutaba scripts de PowerShell y descargaba módulos adicionales, en particular, el troyano SectopRAT.
El grupo supuestamente obtuvo acceso a la infraestructura a través de la vulnerabilidad CVE-2025-49113 en el cliente web de correo Roundcube Webmail con una puntuación crítica de 9,9 sobre 10.
Positive Technologies advierte: CapFix no se detendrá. Los expertos ya han registrado cuatro nuevos dominios del grupo, aún inactivos, pero claramente preparados para la próxima ola de ataques. Se recomienda a las organizaciones que actualicen urgentemente Roundcube Webmail y refuercen la protección del correo corporativo.