Киберпреступная группа Vortex Werewolf атаковала российский ОПК

Группировка Vortex Werewolf атаковала предприятия оборонно-промышленного комплекса и органы государственного управления. Злоумышленники использовали фишинг с высокой степенью маскировки под легитимные сервисы, сообщили изданию «Киберболоид» в пресс-службе BI.ZONE. Серия атак была зафиксирована в декабре 2025 года и январе 2026-го. Основная цель— шпионаж.

Атаки начинались просто: жертве предлагали скачать важные рабочие документы по ссылке, которая выглядела как файловое хранилище Telegram. На деле переход по ней позволял установить вредоносное ПО на компьютер пользователя и получить доступ к его телеграм-аккаунту. Фишинговую ссылку отправляли напрямую в мессенджер или электронную почту. После перехода по ней запускался процесс восстановления доступа к аккаунту. Жертве предлагали ввести код с другого устройства. При наличии двухфакторной аутентификации требовался ещё и облачный пароль. Пользователю объясняли это необходимостью полного отображения документа. Так атакующие получали доступ к активной сессии Telegram со всеми переписками и контактами.

Но преступники не ограничивались только угоном аккаунта. После ввода кодов и паролей на устройство пользователя загружался ZIP-архив. Внутри был вредоносный файл, замаскированный под PDF-документ, плюс скрытый каталог с ещё одним архивом, содержащим множество файлов. Открытие «документа» запускало вредоносный скрипт, который предоставлял злоумышленникам удалённый доступ к системе. Для скрытого управления устройством преступники устанавливали OpenSSH и Tor. OpenSSH — легитимный инструмент для безопасного удалённого подключения, но злоумышленники использовали его для связи со своим командным сервером. Чтобы скрыть соединение, весь трафик перенаправлялся через Tor.

Незадолго до зимней серии атак на Россию исследователи Cyble и Secrite выявили похожую кампанию этой группировки, нацеленную на белорусские предприятия ОПК и государственные организации.