A New Backdoor Is Quietly Hunting U.S. Schools and Hospitals
Cisco Talos just uncovered an active malware campaign that's been systematically targeting American education and healthcare institutions for nearly three months. The attackers are deploying a never-before-seen backdoor called Dohdoor that uses a particularly clever trick to phone home—DNS-over-HTTPS—making detection significantly harder.
The Breach
According to The Hacker News, the campaign tracked as UAT-10027 has been running wild since December 2025, and frankly, that's a concerning amount of time for something this sophisticated to operate under the radar. The education sector and healthcare organizations are the targets, which means patient records, student data, and institutional infrastructure are all potentially at risk.
Education cyber attacks have been ramping up for years, but this one's different. Dohdoor isn't some commodity malware you grab off a forum.
It's custom-built. Purposeful. The attackers clearly put thought into this.
Schools and hospitals aren't exactly swimming in cybersecurity budgets either, which makes them appetizing targets. These are institutions that often run legacy systems, patch slowly, and operate with skeleton IT teams juggling a thousand priorities. So why does this matter to your local school district? Because education vulnerability has become a national security issue.
Under the Hood
Here's what makes Dohdoor particularly nasty. Most backdoors use standard protocols—HTTP, HTTPS, maybe some obscure port nobody thinks to monitor. Dohdoor? It s DNS-over-HTTPS for command and control. Think about that for a second.
DNS-over-HTTPS is encrypted. It's increasingly common. It's also nearly impossible to distinguish from legitimate traffic without deep packet inspection.
An attacker hiding commands inside DNS queries wrapped in HTTPS encryption is essentially blending into the noise of normal network operations. Network defenders see thousands of DNS requests daily. Hiding malicious C&C traffic in that stream is like smuggling contraband through an airport during peak holiday travel—it works because everyone's too overwhelmed to look closely.
Cisco Talos hasn't publicly disclosed whether the campaign exploits specific vulnerabilities like react2shell vulnerability targets or if it relies on credential theft and social engineering. The fact that it's undocumented suggests these attackers have invested significantly in keeping their tooling private and effective.
The Fallout
Cyber attack symptoms in compromised education and healthcare environments can range from subtle to catastrophic. You might see unusual outbound traffic spikes. Degraded system performance. Unexplained administrative account activity. But here's the thing—by the time you notice symptoms, the backdoor's already established.
For hospitals, a persistent backdoor means ransomware could arrive tomorrow. Patient data could vanish tonight. Department of education cyber attack scenarios keep security officials up at night, and for good reason—education cyber security gaps directly endanger students and staff.
The implications ripple outward. Healthcare networks handle protected health information. Schools store Social Security numbers, financial aid data, health records. If Dohdoor's operators maintain access, they're sitting on a goldmine of identifiable information.
And the timing? During the school year. During peak hospital operations. Peak chaos.
Protecting Yourself
If you're in education or healthcare, treat this seriously. Start with DNS monitoring—your current defenses probably aren't inspecting DNS-over-HTTPS traffic closely enough, and that's a problem you need to fix. Deploy network detection and response tools that can actually see what's happening inside encrypted traffic.
Patch everything. Seriously. Not next month. Now. Education cyber security jobs exist partly because organizations treat patching like an optional chore—stop doing that.
Implement network segmentation so a backdoor in one system doesn't compromise everything. Require multifactor authentication everywhere. Monitor for unusual administrative activity with actual alerting, not just logging you'll never review.
Disruptive innovation in education examples usually focus on pedagogy, but you know what's disruptive? Having your entire institution encrypted by ransomware. Prevention beats innovation every single time.
Higher education cyber attacks have become common enough that universities should have incident response plans already written, tested, and practiced. If you don't, that's your immediate priority. Waiting for the next campaign won't help.
Новий бекдор тихо охотиться на американські школи та лікарні
Cisco Talos щойно розкрила активну кампанію вредоносного ПО, яка систематично атакує американські освітні та медичні установи протягом майже трьох місяців. Зловмисники розповсюджують раніше невідомий бекдор Dohdoor, який використовує особливо хитрий трюк для зв'язку з командним центром—DNS-over-HTTPS—що значно ускладнює виявлення.
Брешеня
Згідно The Hacker News, кампанія, відстежувана як UAT-10027, діє вже з грудня 2025 року, і чесно кажучи, це занепокійливе тривалість для такого складного атака, який залишався непоміченим. Метою є освітній та медичний сектори, що означає потенційний ризик для медичних даних пацієнтів, інформації про студентів та інфраструктури установ.
Кібератаки на освітні установи набирають обертів вже багато років, але ця атака інша. Dohdoor—це не якесь звичайне вредоносне ПО, яке можна знайти на форумі.
Це спеціально розроблене ПО. Цілеспрямоване. Зловмисники явно добре все продумали.
Школи та лікарні не мають надмірних бюджетів на кібербезпеку, що робить їх привабливими цілями. Це установи, які часто використовують застарілі системи, повільно встановлюють патчі та мають мізерні IT-команди, що жонглюють тисячами завдань. То чому це важливо для вашого навчального округу? Тому що уразливість освітніх установ стала проблемою національної безпеки.
Під капотом
Ось що робить Dohdoor особливо небезпечним. Більшість бекдорів використовують стандартні протоколи—HTTP, HTTPS, можливо якийсь нестандартний порт, на який ніхто не зважає. А Dohdoor? Він використовує DNS-over-HTTPS для команд управління. Подумайте про це на хвилину.
DNS-over-HTTPS—це зашифрований протокол. Він все більше поширюється. Його також майже неможливо відрізнити від легітимного трафіку без глибокого аналізу пакетів.
Зловмисник, який приховує команди всередину DNS-запитів, обгорнутих шифруванням HTTPS, по суті зливається з шумом звичайної мережевої активності. Захисники мережі бачать тисячі DNS-запитів щодня. Приховування шкідливого C&C-трафіку в такому потоці—це як контрабанда в аеропорту під час новорічних свят—це спрацьовує, тому що всі занадто перевантажені, щоб уважно придивитися.
Cisco Talos не розкрила публічно, чи кампанія експлуатує специфічні уразливості на кшталт react2shell або спирається на крадіжку облікових даних та соціальну інженерію. Те, що це невідомий бекдор, припускає, що ці зловмисники вклали значні ресурси в збереження своїх інструментів у таємниці та ефективності.
Наслідки
Симптоми кібератак в скомпрометованих освітніх та медичних установах можуть варіюватися від тонких до катастрофічних. Ви можете помітити незвичайні стрибки вихідного трафіку. Погіршення продуктивності систем. Неочікувана діяльність адміністративних облікових записів. Але ось річ—до того як ви помітите симптоми, бекдор вже встановлений.
Для лікарень постійний бекдор означає, що вірус-шифрувальник може прийти завтра. Дані пацієнтів можуть зникнути сьогодні. Сценарії кібератак на освітні установи тримають у напруженні фахівців з безпеки, і не дарма—пробіли в кібербезпеці освіти безпосередньо загрожують студентам та персоналу.
Наслідки розповсюджуються далі. Мережі охорони здоров'я обробляють захищену медичну інформацію. Школи зберігають номери соціального страхування, дані про фінансування освіти, медичні записи. Якщо оператори Dohdoor зберігають доступ, вони сидять на золотій жилі персональної інформації.
І час? Під час навчального року. Під час пікових операцій лікарні. Пікового хаосу.
Захист себе
Якщо ви працюєте в освіті або охороні здоров'я, сприймайте це серйозно. Почніть з моніторингу DNS—ваш поточний захист, ймовірно, недостатньо уважно аналізує трафік DNS-over-HTTPS, і це проблема, яку потрібно вирішити. Розгорніть інструменти виявлення та реагування на загрози мережі, які можуть насправді бачити, що відбувається всередині зашифрованого трафіку.
Встановіть патчі на все. Серйозно. Не наступного місяця. Зараз. Робочі місця в галузі кібербезпеки освіти існують частково тому, що організації ставляться до встановлення патчів як до необов'язкової роботи—перестаньте це робити.
Впровадьте сегментацію мережі, щоб бекдор в одній системі не скомпрометував все. Вимагайте багатофакторну аутентифікацію повсюди. Відстежуйте незвичайну активність адміністраторів із реальним сповіщенням, а не тільки логуванням, яке ви ніколи не переглядатимете.
Деструктивні інновації в освіті зазвичай зосереджуються на педагогіці, але знаєте що справді деструктивно? Коли вся ваша установа зашифрована вірусом-шифрувальником. Профілактика перемагає інновації завжди.
Кібератаки на вищі навчальні заклади стали достатньо частими, щоб університети вже повинні були мати написані, перевірені та відпрацьовані плани реагування на інциденти. Якщо ви цього не маєте, то це ваш негайний пріоритет. Чекання на наступну кампанію не допоможе.