Вечером 30 мая 2025 года стало известно о масштабной кибератаке, которая, по данным New Lines Magazine, сыграла ключевую роль в крахе режима Башара Асада в Сирии. Хакеры использовали шпионское программное обеспечение SpyMax, замаскированное под легитимное приложение Syrian Trust, чтобы взломать телефоны сирийских офицеров и получить доступ к секретным данным. Атака, начавшаяся с фишинговых ссылок, распространяемых через Telegram, позволила злоумышленникам шпионить за военными, что, по мнению экспертов, изменило ход конфликта. 

SpyMax, усовершенствованная версия известного шпионского ПО SpyNote, была внедрена через поддельные порталы загрузки, выглядевшие как настоящие. По данным сайта PCRisk.com, это программное обеспечение не требует полного доступа к системе Android, что упрощает его использование для киберпреступников. Оригинальная версия SpyMax продается на черном рынке за 500 долларов, но пиратские копии доступны бесплатно, что делает его популярным инструментом среди хакеров. В данном случае шпионское ПО было установлено на устройства сирийских силовиков через Telegram-канал, выдававший себя за Syrian Trust for Development. 

После установки SpyMax предоставил злоумышленникам полный контроль над устройствами. Программа выполняла функции трояна удаленного доступа (RAT), фиксируя нажатия клавиш, перехватывая текстовые сообщения, звонки, фотографии и конфиденциальные файлы. По данным New Lines Magazine, хакеры могли отслеживать местоположение офицеров в реальном времени, получать доступ к камере и микрофону, а также записывать разговоры командиров, раскрывая оперативные планы. Более того, они могли удаленно снимать видео, показывающие военные штабы, что дало противникам Асада стратегическое преимущество. 

Атака была особенно эффективна против устройств на старых версиях Android, таких как Lollipop, выпущенная в 2015 году. По данным PCRisk.com, уязвимости этой операционной системы позволяли шпионскому ПО выполнять до 15 конфиденциальных действий, включая кражу документов, карт и военных удостоверений. Хакеры также собирали личные данные солдат, такие как даты рождения и логины в социальных сетях, что позволяло манипулировать информацией и шантажировать офицеров. 

Инфраструктура атаки была тщательно подготовлена. По данным New Lines Magazine, домены, связанные с фишинговым сайтом Syr1, были зарегистрированы анонимно, а вредоносное ПО действовало с июня 2024 года — за пять месяцев до падения режима Асада. Злоумышленники использовали поддельные сертификаты безопасности, чтобы избежать обнаружения, а данные передавались на неизвестные облачные платформы, что затрудняло отслеживание.