Знакомство в мессенджере, а на выходе — прослушка: как SiribClone охотится за военными РФ
NewsMakerF6 обнаружила кибершпионскую группировку SiribClone, атакующую российских военнослужащих.
Новая кибершпионская группировка SiribClone нацелена на российских военнослужащих и пытается получить доступ к их Telegram-аккаунтам, а также данным с компьютеров и Android-смартфонов. По данным F6, атакующие знакомятся с потенциальными жертвами в мессенджерах, представляются девушками или волонтерами и предлагают скачать приложение для обмена фотографиями, открыть архив с документом либо пройти авторизацию на поддельной странице Telegram.
Группировку обнаружили специалисты F6 Threat Intelligence. Эксперты вышли на след SiribClone в феврале 2026 года и позже выяснили, что самая ранняя активность датируется как минимум летом 2025 года. Целью атак стали военнослужащие ВС РФ на приграничных территориях и в зоне СВО.
Документ-приманка.
SiribClone действует по двум направлениям. Группировка распространяет вредоносные программы для компьютеров и смартфонов, чтобы собирать личные, технические, географические и другие данные. Отдельно атакующие пытаются получить доступ к Telegram-аккаунтам, чтобы читать переписку и изучать контакты.
Для заражения компьютеров SiribClone использует вредоносную программу SiribGrabber. Основная задача программы - кража данных. Зимой 2026 года атакующие рассылали ZIP-архив с якобы ведомственным документом о внедрении системы информационного взаимодействия. Внутри находился файл, открытие которого запускало загрузку вредоносного ПО.
В мае 2026 года группировка сменила приманку и стала использовать фейковый сайт движения «Бессмертный полк». При нажатии на кнопку «Принять участие» пользователь скачивал архив под видом анкеты. Открытие файла из архива приводило к загрузке вредоносной программы.
Для атак на смартфоны SiribClone активно применяет социальную инженерию. Атакующие знакомятся с военнослужащими через приложения для знакомств, мессенджеры и другие платформы. В переписке собеседница может представиться программистом и предложить протестировать приложение, либо предложить безопасный обмен фотографиями через отдельную программу.
Под видом приложений Safeintim, SafeintimZ и ZafeintimZ распространяется ранее неизвестное шпионское ПО SafeLoveStealer. Программа запрашивает минимум разрешений и имитирует обычную работу, но параллельно передает атакующим аудио, видео, фотографии, документы, геопозицию, данные сети и Wi-Fi-модема. Вредонос также позволяет записывать звук с микрофона и отправлять аудио, на котором слышна речь.
Еще один сценарий строится вокруг образа волонтеров. Атакующие общаются с военнослужащими от лица людей, которые якобы собирают запросы на гуманитарную помощь, а затем предлагают заполнить таблицу по ссылке.
Переписка с такими собеседниками может закончиться не только установкой шпионского ПО, но и компрометацией Telegram-аккаунта. F6 обнаружила в инфраструктуре SiribClone фишинговые страницы для кражи Telegram-сессий. Страницы маскировались под облачное хранилище Telegram, добавление в сообщества, получение результатов медицинских анализов и авторизацию в фейковом приложении.
На поддельных страницах пользователя просили ввести номер телефона, код для входа в Telegram и при необходимости пароль двухфакторной защиты. После ввода данных атакующие получали доступ к аккаунту и могли читать переписку в режиме реального времени.
F6 также обнаружила приложение, с помощью которого атакующие просматривали сообщения скомпрометированных аккаунтов. В интерфейсе отображались списки захваченных аккаунтов, каналы, чаты и заметки по пользователям. В заметках указывались краткое описание человека, должность и другие сведения.
Описание геолокаций, упоминание званий и войсковых частей помогли F6 сделать вывод, что SiribClone занимается военным шпионажем. Группировка не ограничивается массовым сбором аккаунтов, а пытается получить сведения о конкретных военнослужащих и связанных с ними контактах.
Новая кибершпионская группировка SiribClone нацелена на российских военнослужащих и пытается получить доступ к их Telegram-аккаунтам, а также данным с компьютеров и Android-смартфонов. По данным F6, атакующие знакомятся с потенциальными жертвами в мессенджерах, представляются девушками или волонтерами и предлагают скачать приложение для обмена фотографиями, открыть архив с документом либо пройти авторизацию на поддельной странице Telegram.
Группировку обнаружили специалисты F6 Threat Intelligence. Эксперты вышли на след SiribClone в феврале 2026 года и позже выяснили, что самая ранняя активность датируется как минимум летом 2025 года. Целью атак стали военнослужащие ВС РФ на приграничных территориях и в зоне СВО.
Документ-приманка.
SiribClone действует по двум направлениям. Группировка распространяет вредоносные программы для компьютеров и смартфонов, чтобы собирать личные, технические, географические и другие данные. Отдельно атакующие пытаются получить доступ к Telegram-аккаунтам, чтобы читать переписку и изучать контакты.
Для заражения компьютеров SiribClone использует вредоносную программу SiribGrabber. Основная задача программы - кража данных. Зимой 2026 года атакующие рассылали ZIP-архив с якобы ведомственным документом о внедрении системы информационного взаимодействия. Внутри находился файл, открытие которого запускало загрузку вредоносного ПО.
В мае 2026 года группировка сменила приманку и стала использовать фейковый сайт движения «Бессмертный полк». При нажатии на кнопку «Принять участие» пользователь скачивал архив под видом анкеты. Открытие файла из архива приводило к загрузке вредоносной программы.
Для атак на смартфоны SiribClone активно применяет социальную инженерию. Атакующие знакомятся с военнослужащими через приложения для знакомств, мессенджеры и другие платформы. В переписке собеседница может представиться программистом и предложить протестировать приложение, либо предложить безопасный обмен фотографиями через отдельную программу.
Под видом приложений Safeintim, SafeintimZ и ZafeintimZ распространяется ранее неизвестное шпионское ПО SafeLoveStealer. Программа запрашивает минимум разрешений и имитирует обычную работу, но параллельно передает атакующим аудио, видео, фотографии, документы, геопозицию, данные сети и Wi-Fi-модема. Вредонос также позволяет записывать звук с микрофона и отправлять аудио, на котором слышна речь.
Еще один сценарий строится вокруг образа волонтеров. Атакующие общаются с военнослужащими от лица людей, которые якобы собирают запросы на гуманитарную помощь, а затем предлагают заполнить таблицу по ссылке.
Переписка с такими собеседниками может закончиться не только установкой шпионского ПО, но и компрометацией Telegram-аккаунта. F6 обнаружила в инфраструктуре SiribClone фишинговые страницы для кражи Telegram-сессий. Страницы маскировались под облачное хранилище Telegram, добавление в сообщества, получение результатов медицинских анализов и авторизацию в фейковом приложении.
На поддельных страницах пользователя просили ввести номер телефона, код для входа в Telegram и при необходимости пароль двухфакторной защиты. После ввода данных атакующие получали доступ к аккаунту и могли читать переписку в режиме реального времени.
F6 также обнаружила приложение, с помощью которого атакующие просматривали сообщения скомпрометированных аккаунтов. В интерфейсе отображались списки захваченных аккаунтов, каналы, чаты и заметки по пользователям. В заметках указывались краткое описание человека, должность и другие сведения.
Описание геолокаций, упоминание званий и войсковых частей помогли F6 сделать вывод, что SiribClone занимается военным шпионажем. Группировка не ограничивается массовым сбором аккаунтов, а пытается получить сведения о конкретных военнослужащих и связанных с ними контактах.