Skip to main content
Mallory
Back to malware
MalwareUsed by 1 actor

PhantomHeart

Share:
For your environment

Hunt this family in your stack

Mallory pivots from this family to the IOCs, detections, and named campaigns that touch your stack, and pages you when something new lands.

Start free trial
THREAT ACTORS

Groups observed using it

1 distinct threat actor attributed by public researchers. Open in Mallory to see the full evidence chain and overlapping campaigns.

View more details
Head Mare

Не успели мы рассказать о кампании с использованием PhantomHeart, как обнаружили еще одну масштабную фишинговую рассылку...

via securelist rusecurelist.ru
MITRE ATT&CK

Techniques & procedures

8 distinct techniques documented for this family, organized by ATT&CK tactic.

Initial Access

1 technique
T1190Exploit Public-Facing ApplicationEvidence1
TacticInitial Access

Head Mare продолжает эксплуатировать уязвимость BDU:2025-10114 в программном обеспечении TrueConf Server... В этой кампании вновь используется эксплуатация уязвимости BDU:2025-10114 в TrueConf Server... включая внедрение команд PowerShell через параметры запуска tc_server.exe, что позволяло атакующим выполнять произвольный код в целевых системах.

Execution

2 techniques
T1053.005Scheduled TaskEvidence1
TacticsExecutionPersistencePrivilege Escalation

...бэкдор запускался через планировщик задач под видом легитимного скрипта обновления... Новая версия PhantomProxyLite... закрепление теперь осуществляется через задачу планировщика Windows с тем же именем, SSHService, настроенную на запуск при старте системы от имени учетной записи SYSTEM.

T1059.001PowerShellEvidence1
TacticExecution

Ключевой находкой стал новый бэкдор PhantomHeart, который изначально распространялся в виде DLL-библиотеки, а позднее был переработан в PowerShell-скрипт... PhantomProxyLite... также получил реализацию на PowerShell... включая внедрение команд PowerShell через параметры запуска tc_server.exe.

Persistence

1 technique
T1053.005Scheduled TaskEvidence1
TacticsExecutionPersistencePrivilege Escalation

...бэкдор запускался через планировщик задач под видом легитимного скрипта обновления... Новая версия PhantomProxyLite... закрепление теперь осуществляется через задачу планировщика Windows с тем же именем, SSHService, настроенную на запуск при старте системы от имени учетной записи SYSTEM.

Privilege Escalation

1 technique
T1053.005Scheduled TaskEvidence1
TacticsExecutionPersistencePrivilege Escalation

...бэкдор запускался через планировщик задач под видом легитимного скрипта обновления... Новая версия PhantomProxyLite... закрепление теперь осуществляется через задачу планировщика Windows с тем же именем, SSHService, настроенную на запуск при старте системы от имени учетной записи SYSTEM.

Stealth

1 technique
T1036MasqueradingEvidence1
TacticStealth

...бэкдор запускался через планировщик задач под видом легитимного скрипта обновления, размещенного в директории средства удаленного администрирования LiteManager. Использование пути $ProgramFiles\LiteManager Pro - Server\rom\check-update.ps1 указывает на попытку замаскировать вредоносную активность под штатную работу легитимного программного обеспечения.

Lateral Movement

1 technique
T1021.004SSHEvidence1
TacticLateral Movement

При получении соответствующих параметров... бэкдор запускает клиент OpenSSH... инициирует сессию с использованием удаленного проброса портов... PhantomProxyLite... запускает ssh.exe для установления обратного туннеля.

Command and Control

3 techniques
T1071.001Web ProtocolsEvidence1
TacticCommand and Control

После расшифровки адресов PhantomHeart переходит в основной цикл взаимодействия с C2. Для обмена данными используются HTTP POST-запросы, содержащие вредоносную нагрузку в формате JSON.

T1105Ingress Tool TransferEvidence1
TacticCommand and Control

Ключевой функциональной возможностью PhantomHeart является развертывание SSH-туннеля по указанию C2-сервера... Затем PhantomHeart динамически создает временный конфигурационный файл... и инициирует сессию... Это позволяет оператору получить устойчивый удаленный доступ к скомпрометированной системе.

T1572Protocol TunnelingEvidence1
TacticCommand and Control

Ключевой функциональной возможностью PhantomHeart является развертывание SSH-туннеля... инициирует сессию с использованием удаленного проброса портов (remote port forwarding)... PhantomProxyLite... запускает ssh.exe для установления обратного туннеля.

INDICATORS OF COMPROMISE

IOCs tracked for this family

30 indicators attributed across vendor reports, sandbox runs, and researcher write-ups. Full values are available in Mallory.

View more in app
Network
15 tracked

IPs, domains, and DNS infrastructure linked to this family.

Hashes
15 tracked

File hashes (MD5, SHA-1, SHA-256) from samples and reports.

TypeValueLatest sighting
domain●●●●●●●●●●●●View more in app4 months ago
domain●●●●●●●●●●●●View more in app4 months ago
domain●●●●●●●●●●●●View more in app4 months ago
hash.md5●●●●●●●●●●●●View more in app4 months ago
hash.md5●●●●●●●●●●●●View more in app4 months ago
hash.md5●●●●●●●●●●●●View more in app4 months ago
ACTIVITY FEED

Recent activity

4 sources tracked across advisories, community write-ups, and news. New activity surfaces here as Mallory finds it.

4 SOURCESView more in app
securelist ruNews
May 22, 2026
Группа Cloud Atlas обзавелась новыми инструментами | Securelist

Backdoor attributed to Head Mare and used to create SSH tunnels.

Read more
securelist ruNews
Mar 2, 2026
Head Mare распространяет обновленный PhantomCore под видом контракта | Securelist

Referenced as malware used in a prior Head Mare campaign, but no technical details are provided in this content.

Read more
securelist ruNews
Feb 13, 2026
Как изменился арсенал группы Head Mare в начале 2026 года | Securelist

PowerShell backdoor that provides remote access via HTTP communication with a C2 server and can deploy an SSH tunnel on operator request. It collects host information, registers and sends heartbeat messages to the C2, launches OpenSSH with remote port forwarding, and supports persistence via Windows Task Scheduler disguised as a legitimate update script.

Read more
securelistNews
May 13, 2021
Cloud Atlas group acquires new tools | Securelist

A backdoor attributed to Head Mare that is used to create an SSH tunnel.

Read more
What this page doesn’t show

The version that knows your environment.

This page is what’s public. Mallory adds the parts that aren’t: which of your assets match these IOCs, which detections are missing, which campaigns to expect next, and what to do in the next 30 minutes.
Start free trial
IOC matching30

Match every observed IP, domain, and hash against your live telemetry.

Threat actor attribution1

Named campaigns wielding this family, with evidence pinned to each claim.

Exploited vulnerabilities

CVEs this family uses for access and lateral movement.

Detection signatures

YARA, Sigma, Snort, and vendor rules, auto-deployed to your SIEM.

MITRE ATT&CK mapping8

Every documented technique, ranked by evidence weight.

Researcher chatter

Reddit, Mastodon, and CTI community discussion around this family.