Специалисты BI.ZONE выяснили, что хакерская группировка Mysterious Werewolf перешла на собственные инструменты для атак. Чтобы атаки сложнее было распознать, злоумышленники используют для удалённого доступа вредоносную программу собственной разработки. Ранее группировка применяла легитимный инструмент с открытым исходным кодом.

Для проникновения в инфраструктуру жертв злоумышленники использовали фишинг и эксплуатировали уязвимость WinRAR CVE-2023–38 831. Хакеры рассылали от имени различных регуляторов письма с архивом. В архиве находился отвлекающий документ в виде официального письма и папка с вредоносным файлом в формате CMD. Если пользователь открывал заражённое письмо, WinRAR автоматически должен был исполнить вредоносный файл.

Далее на устройство жертвы устанавливался оригинальный бэкдор RingSpy. RingSpy представляет собой программу для удалённого доступа, позволяющую злоумышленникам выполнять команды на скомпрометированном компьютере и скачивать данные. Для управления бэкдором используется бот в Telegram.

По словам руководителя BI.ZONE Threat Intelligence Олега Скулкина, в ноябре 2023 года группировка Mysterious Werewolf использовала озвученную схему для атак на российские промышленные компании. Однако в конце осени 2023 года для удалённого доступа злоумышленники применяли агент Athena фреймворка Mythic, представляющий собой легитимный инструмент для тестирования на проникновение.