Комп’ютерна команда реагування на надзвичайні ситуації України (CERT-UA) видала попередження про нові цільові кібератаки в країні, що включають бекдор під назвою CABINETRAT, приписуваний кластеру загроз UAC-0245. Ці атаки, помічені у вересні 2025 року, використовують програмні інструменти у формі XLL-файлів, які є додатками Microsoft Excel для розширення функціональності Excel за допомогою кастомних функцій. Поширення відбувається через ZIP-архіви, надіслані через додаток для обміну повідомленнями Signal, замасковані під документи, пов’язані з затриманням осіб, які намагаються перетнути український кордон.

При виконанні XLL-файли створюють кілька виконуваних файлів на скомпрометованому хості, включаючи EXE-файл у папці Startup, XLL-файл під назвою “BasicExcelMath.xll” у директорії “%APPDATA%\Microsoft\Excel\XLSTART” та PNG-зображення під назвою “Office.png”. Атака включає модифікації реєстру Windows для забезпечення персистентності, запуск Excel у прихованому режимі з параметром “/e” (“/embed”) для запуску XLL-додатка. Основна функція XLL полягає в парсингу та витягуванні шелкоду, класифікованого як CABINETRAT, з PNG-файлу, який включає анти-VM та анти-аналіз заходи, такі як перевірка на щонайменше два ядра процесора, щонайменше 3 ГБ RAM та наявність інструментів віртуалізації, як VMware, VirtualBox, Xen, QEMU, Parallels та Hyper-V.

CABINETRAT, написаний мовою програмування C, діє як повноцінний бекдор з можливостями збору системної інформації, переліку встановлених програм, зйомки скріншотів, переліку вмісту директорій, видалення конкретних файлів чи директорій, запуску команд та виконання завантажень/вивантажень файлів. Він комунікує з віддаленим сервером через TCP-з’єднання. Це розкриття слідує за недавніми попередженнями від Fortinet FortiGuard Labs про інші атаки на Україну, які включали безфайлові фішингові кампанії, що імітували Національну поліцію України для доставки Amatera Stealer та PureMiner для збору даних та майнінгу криптовалюти. Це підкреслює постійні загрози для України та необхідність посилення захисту від цільових атак.