Дослідники з Seqrite Labs виявили нову кампанію, яка, ймовірно, націлена на російський автомобільний та електронної комерції сектори з раніше незадокументованим шкідливим ПЗ .NET під назвою CAPI Backdoor. Ланцюг атаки включає розсилку фішингових email з ZIP-архівом для запуску інфекції. Аналіз компанії базується на ZIP-артефакті, завантаженому на платформу VirusTotal 3 жовтня 2025 року. У архіві міститься приманковий документ російською мовою, що видається за повідомлення про законодавство щодо податку на доходи, та файл ярлика Windows (LNK). Файл LNK, що має таку ж назву, як архів (“Перерасчет заработной платы 01.10.2025”), відповідає за виконання імпланту .NET (“adobe.dll”) за допомогою легітимного бінарного файлу Microsoft “rundll32.exe” – техніка living-off-the-land (LotL), яку часто застосовують зловмисники. Бекдор має функції перевірки прав адміністратора, збору списку встановлених антивірусів та відкриття приманкового документа як маскування, водночас приховано з’єднуючись з віддаленим сервером (“91.223.75[.]96”) для отримання подальших команд.

Команди дозволяють CAPI Backdoor красти дані з веббраузерів як Google Chrome, Microsoft Edge та Mozilla Firefox; робити скріншоти; збирати інформацію про систему; перелічувати вміст папок та ексфільтрувати результати на сервер. Ця кампанія ілюструє еволюцію фішингових тактик та використання легітимного ПЗ для маскування, підвищуючи ризики для корпоративних мереж.