Эксперты Kaspersky GReAT выявили новую волну атак трояна PassiveNeuron, которая шла с декабря 2024 по август 2025 года. Вредоносная кампания затронула правительственные, финансовые и промышленные организации в Азии, Африке и Латинской Америке. Преимущественно на серверах Windows.
После полугодового затишья злоумышленники использовали три основных инструмента для доступа к сетям: фреймворк Cobalt Strike и два новых — бэкдор Neursite и имплант NeuralExecutor.
Neursite позволяет собирать данные о системе, управлять процессами и перемещаться по сети, а NeuralExecutor работает с .NET и загружает дополнительные сборки с командного сервера.
Анализ показал, что злоумышленники использовали кириллические символы в коде, вероятно, чтобы запутать исследователей. На данный момент Kaspersky предполагает, что кампанию проводила китайскоязычная группа, но не уверены в этом на 100 процентов.