## PhantomCore: как хакеры используют TrueConf и легитимные инструменты для скрытого шпионажа в российских сетях
С осени 2025 года хакерская группа PhantomCore, специализирующаяся на кибершпионаже, резко активизировала атаки на российские организации. Их главная тактика — длительное скрытое присутствие в инфраструктуре жертвы с использованием легитимного программного обеспечения, что позволяет им маскировать свою активность на виду. Основной мишенью стали серверы видеоконференцсвязи TrueConf, через вредоносный клиент которых злоумышленники получают первоначальный доступ.

Атаки PhantomCore отличаются методичным подходом к закреплению в системе. После компрометации хоста они используют инструменты цифровой криминалистики для сбора учетных данных и анализа внутренних процессов организации. Для дальнейшего расширения контроля и скрытого канала связи группа применяет собственный набор инструментов: MacTunnelRat (также известный как PhantomHeart) для создания обратных SSH-туннелей, а также утилиты PhantomProxyLite и PhantomSscp. Этот арсенал позволяет им незаметно перемещаться по сети, углубляя шпионаж и собирая конфиденциальные данные.

Длительное присутствие PhantomCore в корпоративных сетях создает серьезные риски для внутренней безопасности российских компаний и госучреждений. Использование легальных инструментов и сервисов, таких как TrueConf, значительно затрудняет обнаружение атак традиционными средствами защиты. Активность группы сигнализирует о растущей изощренности целевых атак, нацеленных не на быстрое обогащение, а на постепенный, глубокий сбор стратегической информации. Это требует от служб информационной безопасности пересмотра подходов к мониторингу легитимного трафика и поведения пользователей в сети.
---
- **Source**: Habr
- **Sector**: The Network
- **Tags**: кибершпионаж, TrueConf, Россия, хакерская группа, целевые атаки
- **Credibility**: unverified
- **Published**: 2026-04-20 14:52:54
- **ID**: 72628
- **URL**: https://whisperx.ai/en/intel/72628