«Лаборатория Касперского» выявила новую хакерскую группу — Geo Likho. По данным портала киберразведки Kaspersky Threat Intelligence Portal, злоумышленники совершают сложные целевые атаки на российские организации из различных сфер ради кибершпионажа. В их числе — госсектор, образовательные учреждения и промышленность, но основной упор делают на авиационную индустрию и судоходные компании. В 2026 г. группа сосредоточилась преимущественно на России, что делает Geo Likho актуальной угрозой для отечественных предприятий. Об этом CNews сообщили представители «Лаборатории Касперского».

Что известно о Geo Likho. Среди отличительных черт злоумышленников — создание уникальных вредоносов для каждой цели, а также использование VBE-скриптов, что нетипично для современных злоумышленников. Атакующие стремятся надолго закрепиться в скомпрометированной инфраструктуре, чтобы вести наблюдение за целью и похищать данные — они могут сохранять там свое присутствие в течение нескольких недель или даже месяцев.

Ретроспективный анализ позволяет отнести к этой группе вредоносные кампании со шпионским троянцем Batavia, которые «Лаборатория Касперского» исследовала с марта 2025 г.

Как происходит атака. В качестве вектора первоначального доступа злоумышленники используют целевой фишинг: жертве присылают письмо, в котором просят ознакомиться с неким договором, для этого якобы нужно перейти по ссылке, которая выглядит как путь к официальному документу. Если нажать на эту ссылку, на компьютер жертвы загружается вредоносный VBE-скрипт и запускается незаметное трехступенчатое заражение. Это позволяет злоумышленникам собирать данные на компьютере и съемных носителях жертвы: например, системные журналы, презентации и другие офисные файлы, изображения, а также периодически делать снимки экрана. Geo Likho похищает у организаций не только документы, но и дополнительную информацию: список установленных программ, драйверов и компонентов операционной системы.

«Действия группы характеризуются тщательной подготовкой и ориентацией на конкретные страны: только за последние семь месяцев злоумышленники провели более 200 атак в России. В 2025 г. наблюдались отдельные заражения в Германии, Сербии, Гонконге — скорее всего случайные, поскольку почти все фишинговые письма и файлы-приманки были написаны на русском языке. В ходе исследования мы также обнаружили, что Geo Likho начала создавать вредоносные утилиты под конкретную инфраструктуру жертвы. Это говорит о том, что злоумышленники вкладывают значительные ресурсы в разработку собственных инструментов», — сказал Алексей Шульмин, эксперт по кибербезопасности в «Лаборатории Касперского».

Эксперты «Лаборатории Касперского» продолжают отслеживать активность Geo Likho и для защиты от этой киберугрозы рекомендуют организациям: предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников; применять комплексные защитные решения, которые позволят выстроить гибкую и эффективную систему безопасности; обучать сотрудников цифровой грамотности. В этом помогут специализированные курсы или тренинги.

Короткая ссылка