Arcane Werewolf обновила способы атаки на компании из РФ

В октябре и ноябре 2025 года эксперты BI.ZONE зафиксировали серию атак на российские промышленные и инжиниринговые компании от хакерской группировки Arcane Werewolf. Злоумышленники рассылали фишинговые письма, замаскированные под деловую переписку. Ссылки в письмах вели на вредоносные ресурсы, имитирующие связанные с жертвой организации.

Фишинговая страница повторяла стиль и цвета настоящего сайта, включая логотип. Перейдя по ссылке из письма, атакуемый попадал на страницу, которая выглядела как корпоративный файлообменник. Здесь происходила загрузка ZIP-архива с фото оборудования и вредоносным LNK-файлом, замаскированным под PDF-документ.

Запуск LNK-файла загружал и запускал через PowerShell PE32+ дроппер, написанный на Go. Дроппер расшифровывал Base64-закодированные вредоносные файлы: загрузчик chrome_proxy.pdf и отвлекающий PDF.

В отчёте кибербез-специалистов говорится, что Arcane Werewolf использовала два новых загрузчика. Первый — новый загрузчик Loki 2.0. Он собирал данные о системе, шифровал их и отправлял злоумышленникам.

В ноябре 2025 года кибербез-спецы обнаружили второй, ещё более новый дроппер, написанный на C++, с обновлённым Loki 2.1. Новый дроппер извлекал на диск отвлекающий PDF и загрузчик Loki 2.1, запускал оба файла с помощью стандартных системных функций. Версия Loki 2.1 сохраняет функции сбора и шифрования информации, а отличие от предыдущей версии — в управлении командами: теперь команды пронумерованы, а не хешируются. Открытие такого «документа» запускало дроппер — вредонос с двумя частями. Отвлекающий файл выглядел как официальный отчёт или уведомление, а вторая часть — загрузчик Loki. Он собирал базовую информацию о компьютере: имя устройства, пользователя, версию ОС, внутренний IP. Эти данные вредонос направлял злоумышленникам и запускал имплант Loki — троян удалённого доступа, предоставляющий контроль атакующим.

Специалисты ИБ рассказали, что промышленность и инженерия в РФ с начала 2025 года стали вторыми по числу кибератак после госструктур. На долю этих отраслей приходится 12% всех атак против 13% у государственных организаций. Финансовая сфера и логистика разделяют третье место — по 11% у каждой.

Сейчас на российские промышленные и инженерные компании нацелено 63 хакерских группы. По словам специалистов BI.ZONE, половина этих групп занимается шпионажем. Хакеры не просто эксплуатируют баги, а сами создают вредоносные инструменты, строят сложные цепочки атак и пытаются находиться в инфраструктуре как можно дольше, бесшумно выкачивая конфиденциальные данные.