Новая группировка PseudoSticky атакует российские предприятия
3 мин
10
Российские организации из сфер ретейла и строительства, НИИ и приборостроительных предприятий подвергаются атакам новой группировки PseudoSticky. Как сообщили в компании F6, письма потенциальным жертвам хакеры отправляют от имени несуществующих предприятий ОПК и областного суда.
Первую вредоносную кампанию PseudoSticky специалисты обнаружили в ноябре 2025 года. Архив с названием «Изделие-44 ДСП.rar» содержал признаки использования нейросетей при создании вредоносного ПО. Дальнейшее исследование показало, что речь идёт о полноценной группировке. Злоумышленники связывают себя со Sticky Werewolf как посредством техник и инструментов, так и прямым упоминанием этой группировки.
В одной из атак киберпреступники даже использовали название Sticky Werewolf в качестве пароля для вредоносного архива. Изучив отличия в инфраструктуре и реализации вредоносного кода, аналитики предположили, что между группировками нет прямой связи, а есть сознательная мимикрия. По этой причине новую группировку назвали PseudoSticky.
Зимой 2025–2026 годов злоумышленники совершили ряд новых атак, постепенно меняя почерк и расширяя спектр целей. В декабре 2025 года специалисты обнаружили фишинговые рассылки, нацеленные на компании из ретейла и строительства. Письма отправлялись с легитимного почтового адреса ИТ-компании. Вредоносный файл замаскировали под лицензию для софта. Этот файл классифицировали как DarkTrack RAT.
В январе 2026 года злоумышленники заменили вредоносное ПО на Remcos RAT. Этот троян удалённого доступа известен с 2016 года и имеет множество функций, включая шпионаж. Remcos RAT используют в атаках 20 киберпреступных группировок.
В феврале 2026 года группировка продолжила атаки. В новой кампании злоумышленники расширили спектр целей, включив в него научно-исследовательские организации. Фишинговые письма шли с предположительно скомпрометированных почтовых адресов. Один из них располагается на домене НИИ, занимающегося разработкой и выпуском продукции военного и двойного назначения. Второй находится на домене компании из Челябинской области.
Письма содержали вложения в виде архивного файла с двумя файлами-приманками. Шифр «Аист», упомянутый в названии первого, относится к проекту речных пограничных катеров. Один из файлов был оформлен как решение по итогам испытаний диодов и содержал недостоверную информацию. Второй стороной в документе значилось предприятие, информация о котором в открытых источниках отсутствует.
Тот же файл содержит вложенный поток данных, в котором название цветовой схемы стиля было указано с использованием норм орфографии украинского языка. Аналитики считают, что атакующие целенаправленно использовали скомпрометированные адреса электронной почты, чтобы маскировать вредоносные рассылки под письма от конкретных организаций.
