Хакерская группировка CapFix провела серию целевых атак на российские промышленные и авиастроительные компании. Злоумышленники рассылали фишинговые письма с PDF- и HTML-вложениями, замаскированными под документы ФСБ, Минобороны и других госструктур. Атаки зафиксировали специалисты Positive Technologies.
Внутри вложений прятались ссылки на архивы с бэкдором CapDoor. Вредонос проникал в систему через многоступенчатую цепочку DLL sideloading, скрывал своё присутствие, собирал данные о заражённой машине и каждые две минуты выходил на связь с командным сервером по зашифрованному каналу ChaCha20. По команде оператора CapDoor делал скриншоты, запускал PowerShell-скрипты и скачивал дополнительные модули — в частности, троян SectopRAT.
Доступ к инфраструктуре группировка предположительно получила через уязвимость CVE-2025-49113 в почтовом веб-клиенте Roundcube Webmail с критическим баллом 9,9 из 10.
Positive Technologies предупреждает: CapFix не остановится. Эксперты уже зафиксировали четыре новых домена группировки — пока неактивных, но явно подготовленных под следующую волну атак. Организациям рекомендуют срочно обновить Roundcube Webmail и усилить защиту корпоративной почты.