Специалисты Bi.Zone Threat Intelligence фиксируют повышенную активность группировок, ориентированных на шпионаж. Кластер Paper Werewolf атакует российский промышленный, финансовый и транспортный секторы, а также разрабатывает новое вредоносное ПО. Об этом CNews сообщили представители Bi.Zone.

С января по март 2025 г. на шпионаж пришлось 38% зафиксированных целевых атак. По данным исследования Threat Zone 2026, за весь 2025 г. этот показатель составил 37%. В 2026 г. он сохраняется на высоком уровне: в первые три месяца доля шпионских кибератак выросла до 42%.

Для таких злоумышленников характерно длительное скрытое присутствие в инфраструктуре. С их деятельностью специалисты Bi.Zone Compromise Assessment связывают более 60% всех выявляемых случаев скрытой компрометации. Кибершпионы часто экспериментируют с инструментами и разрабатывают свое вредоносное ПО, чтобы увеличить шансы на успешную атаку.

Например, с марта по апрель 2026 г. специалисты Bi.Zone Threat Intelligence зафиксировали повышенную активность кластера Paper Werewolf. Для атак злоумышленники использовали новые самописные инструменты.

Олег Скулкин, руководитель Bi.Zone Threat Intelligence: «Paper Werewolf активно экспериментирует с цепочками атак, используя фишинговые PDF-документы, установщики и различные загрузчики для доставки вредоносной нагрузки. Кластер обладает высоким уровнем подготовки и технической зрелости: атакующие продолжают разработку собственных имплантов для фреймворка постэксплуатации Mythic. Кроме того, они создали собственный стилер PaperGrabber, который позволяет собирать данные из Telegram, файлы с локальных, сетевых и съемных дисков, а также красть учетные данные из браузеров».

Одна из фишинговых кампаний была нацелена на промышленные и финансовые организации. Открывая файл, вложенный в письмо, жертвы фактически запускали троян удаленного доступа EchoGather. ВПО позволяло атакующим собирать системную информацию о скомпрометированном устройстве, загружать и отправлять файлы на C2-сервер, а также выполнять команды. Весь процесс атакующие замаскировали под установку Adobe Acrobat Reader.

Летом 2025 г. группировка Paper Werewolf использовала для атак уязвимости в WinRAR. К фишинговым письмам прилагались RAR?архивы якобы с важными документами, а на самом деле — с вредоносным ПО. Злоумышленники воспользовались двумя уязвимостями в WinRAR, которые позволяли при распаковке архива устанавливать ВПО на скомпрометированное устройство незаметно для жертвы. Тогда целями атак стали организации из России и Узбекистана.

Чтобы защитить организацию от кибератак, важно знать, какие методы и инструменты применяют злоумышленники. Подробную информацию об этом предоставляют порталы киберразведки.

Короткая ссылка