В ноябре 2025 года специалисты F6 обнаружили вредоносную кампанию, в которой атакующие использовали LLM при проведении атаки с ВПО PureCrypter и DarkTrack RAT. Дальнейшее исследование активности группировки показало: речь идёт не просто о нескольких атаках, выполняемых с использованием LLM, а о полноценной группировке, проводящей вредоносные кампании и связывающей себя со Sticky Werewolf как посредством TTPs и используемых инструментов, так и прямым их упоминанием.

Sticky Werewolf (известна также под псевдонимами MimiStick, Angry Likho, PhaseShifters) – одна из наиболее активных проукраинских АРТ-группировок. Действует с апреля 2023 года, атакует предприятия в России и Беларуси. Одна из особенностей Sticky Werewolf – рассылки писем с вредоносным ПО от имени госведомств, например, Минпромторга, Минобрнауки России, Росгвардии. Цели группировки – предприятия в сфере энергетики, промышленности, ОПК, строительства, ЖКХ, транспорта.

Злоумышленники из группировки, применившей LLM в ноябрьской атаке, используют похожие TTPs и виды вредоносного ПО, которые внешне напоминают инструменты, связанные со Sticky Werewolf. В одном из случаев киберпреступники даже использовали название этой группировки в качестве пароля для вредоносного архива. Однако при более внимательном анализе становятся заметны отличия в инфраструктуре, реализации вредоносного кода и отдельных элементах тактики, что позволило нам предположить – вероятно, между группировками нет прямой связи, а есть сознательная мимикрия. По этой причине новую группировку назвали PseudoSticky.

В этом блоге (полная версия доступна на сайте) аналитики департамента киберразведки (Threat Intelligence) компании F6 представили результаты исследования атак, которые группировка пр��водила зимой 2025-2026 годов. Целью этих атак стали компании из разных сфер деятельности – от ретейлеров и девелоперов до научно-исследовательских организаций и приборостроительных предприятий.

Как правило, злоумышленники использовали во вредоносных рассылках в качестве приманок файлы, названия которых были связаны с продукцией военного назначения – от авиационных ракет до беспилотных летательных аппаратов. При этом PseudoSticky компрометировали домены или почтовые ящики на доменах, названия которых созвучны с названиями предприятий и организаций, от имени которых злоумышленники впоследствии проводили рассылку вредоносных писем — включая областной суд. В некоторых случаях злоумышленники отправляли письма от имени несуществующих предприятий (таких, например, как ООО «Челябинский завод двигателей для авиации» и его филиал в Петрозаводске), а также генерировали фейковые документы с указанием таких вымышленных организаций (например, АО «Владимирский государственный радиозавод»).

Декабрь 2025 года: троян под ёлочку

В декабре 2025 года специалисты F6 обнаружили фишинговые рассылки группировки PseudoSticky на компании, действующие в сфере ретейла и строительства.

Письма были направлены с легитимного электронного почтового адреса, принадлежащего IT-компании из Владимирской области, что позволяет сделать вывод о его возможной компрометации. В письме содержалось уведомление о предоставлении организации доступа к платформе контроля и учёта строительного процесса, а вредоносный файл замаскировали под лицензию для указанного софта.

Рис. 1. – Пример фишингового письма от имени IT-компании
Рис. 1. – Пример фишингового письма от имени IT-компании

Письма содержали вложения в виде архивного файла с именем “Лицензия.PDF.rar” (MD5: 3b3f4ba1c4ac64754b2df46f195b2b77), внутри которого находится одноименный ехе-файл, замаскированный под PDF-файл (MD5: ba235578635940cb7a9fc41df897d5b2).  Данный файл был классифицирован как DarkTrack RAT.

DarkTrack RAT – это троян удаленного доступа (RAT). Обладает широкими возможностями, включает функции кейлоггера, управления удалённым рабочим столом, потоковой передачи веб-камеры, захвата микрофона и записи звука, менеджера файлов и многими другими. Данное вредоносное ПО используют в атаках несколько киберпреступных группировок, включая Sticky Werewolf и PseudoSticky.

В качестве C2-сервера используется wwwyandex[.]org – этот домен уже «засветился» в ноябрьской атаке. Все эти факты позволили отнести новую рассылку к ранее описанной кампании.

Январь 2026 года: пробить диод

В январе 2026 года аналитики F6 зафиксировали новые фишинговые кампании PseudoSticky. После новогодних праздников злоумышленники частично сменили почерк. Вот как изменилась цепочка атаки:

  • замена основной полезной нагрузки на Remcos RAT;

  • внедре��ие Bitbucket в инфраструктуру доставки вредоносного ПО;

  • использование NSIS-упаковщика (Nullsoft Scriptable Install System) на этапе финальной сборки/доставки.

Remcos – троян удалённого доступа, известный с 2016 года. Имеет множество функций, включая шпионаж (онлайн и оффлайн кейлоггер, скринлоггер, доступ к данным веб-камеры, Remote Scripting, File Manager). Как правило, заражение жертвы происходит с помощью фишинговых писем, имеющих вложение с вредоносным макросом, который подгружает ВПО. Remcos RAT используют в атаках более 20 киберпреступных группировок, включая Sticky Werewolf и PseudoSticky.

Анализ ВПО на платформе MDP F6 (F6 Malware Detonation Platform)

Параллельно с изменением цепочки атак злоумышленники расширили спектр целей, включив в него научно-исследовательские организации.

Как и в первоначальных кампаниях, фишинговые письма были направлены с предположительно скомпрометированных электронных почтовых адресов. Один из этих ящиков располагается на домене научно-исследовательского института, занимающегося в том числе разработкой и выпуском продукции военного и двойного назначения, второй – на домене компании из Челябинской области.

Используемые в кампании фишинговые письма содержали в себе вложения в виде архивного файла “Отчет по НИОКР 1427-18 (шифр АИСТ).PDF.rar” (MD5: 00efe94d5c2c4c67e20dd1846c6d29d2), содержащего два декой-файла “2026 01 Решение 2Д212.doc” (MD5: 7573a316430480e4301c1c28d4a9af7d) и “Расчёт.xlsx” (MD5: c45c10bb8f3a52d82667c1e0be54d63b), а также исполняемые файлы “Отчет по НИОКР 1427-18 (шифр АИСТ).PDF.exe” (MD5: 79ddb58bd757774607b007a09ba1b664) и “План модернизации.PDF.exe” (MD5: 79ddb58bd757774607b007a09ba1b664).

Шифр «Аист», который упоминается в названии писем, согласно открытой информации в сети Интернет, относится к проекту речных пограничных катеров.

Один из файлов-приманок, который оформлен как решение по итогам испытаний диодов, содержит недостоверную информацию – второй стороной в документе обозначено АО «Владимирский государственный радиозавод», информация о котором в открытых источниках отсутствует.

Рис. 2. – Содержимое архивного файла “Отчет по НИОКР 1427-18 (шифр АИСТ).PDF.rar
Рис. 2. – Содержимое архивного файла “Отчет по НИОКР 1427-18 (шифр АИСТ).PDF.rar
Рис. 3. – Декой-файл “Расчёт.xlsx”
Рис. 3. – Декой-файл “Расчёт.xlsx”
Рис. 4. – Декой-файл “2026 01 Решение 2Д212.doc”
Рис. 4. – Декой-файл “2026 01 Решение 2Д212.doc”

Стоит отметить, что декой-файл “2026 01 Решение 2Д212.doc” содержит вложенный поток данных со списком источников и настройками стиля цитирования, однако он пустой – возможно, его оставили по ошибке. Вместе с тем, название цветовой схемы стиля в данном потоке данных указано как «Офіс»: это можно оценить как косвенное свидетельство создания или редактирования документа в среде с украинскими региональными настройками.

Содержащиеся в архиве исполняемые файлы “Отчет по НИОКР 1427-18 (шифр АИСТ).PDF.exe” и “План модернизации.PDF.exe” идентичны, в связи с чем ниже описан один из них – файл “План модернизации.PDF.exe”.

Он представляет собой PE32-исполняемый файл, собранный с использованием NSIS (Nullsoft Scriptable Install System), и содержит недействительную цифровую подпись на имя rkn.gov.ru (на этом домене располагается официальный сайт Роскомнадзора).

Рис. 5. – Сведения о цифровой подписи файла “План модернизации.PDF.exe”
Рис. 5. – Сведения о цифровой подписи файла “План модернизации.PDF.exe”

В ходе исполнения указанный файл помещает в каталог автозапуска файл %AppData%\Microsoft\Windows\Start Menu\Programs\Startup\swbck.exe (MD5: a1e25f9fc4177d6b11bd30deb6135dd9) и запускает его, тем самым закрепляясь в системе жертвы.

Файл swbck.exe – PE32-исполняемый файл, который в ходе исполнения создает в зараженной системе профиль нового пользователя с именем Adm и паролем Zxcasdqwe123, после чего вносит изменения в реестр, чтобы скрыть этого пользователя с экрана приветствия (входа в систему).

powershell.exe -WindowStyle Hidden -Command "reg add 'HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList' /v Adm /t REG_DWORD /d 0

Далее для отключения Windows Defender осуществляется обращение к ресурсу hxxps://dnot[.]sh/. Переход по данной ссылке перенаправляет запрос на ресурс https://github[.]com/es3n1n/defendnot, с которого происходит скачивание и запуск соответствующей утилиты.

После отключения Windows Defender ВПО помещает на устройство жертвы два файла: “%Temp%\S.7z” (MD5: f270e01f8c5a4739bd9141f8f664979f) и “%Temp%\w.exe” (MD5: d80a126f41758e1b0a60799eb790c213), после чего запускает “w.exe”.

Рис. 6. – Сведения о содержимом каталога “Temp”
Рис. 6. – Сведения о содержимом каталога “Temp”

Файл “w.exe” представляет собой PE32-исполняемый файл, собранный с использованием NSIS. В ходе исполнения помещает на устройство жертвы файл “%Temp%\[RND].tmp\waf—waf.exe”, который является легитимным файлом архиватора 7-Zip, после чего запускает команду для распаковки ранее указанного архива во временный каталог и запускает содержащийся в нем файл S.exe (MD5: 8456bfc8d524f4f95023e0d2b86295e3). 

%Temp%\[RND].tmp\waf-waf.exe x -pStickyWerewolf -y -o"%Temp%" "%Temp%\S.7z"

В качестве пароля к указанному архиву атакующие используют строку “StickyWerewolf”

Файл S.exe представляет собой PE-исполняемый файл, собранный с использованием NSIS, классифицированный нами как загрузчик. В ходе исполнения данный файл связывается с ресурсом hxxp://bitbucket[.]org/mlwranalytics/stephen/raw/main/calc, где в коммите содержится информация о С2-серверах, и сохраняет ответ в файл “%Temp%\[RND]\f.txt”. <...>

Февраль 2026 года: беспилотная тревога

В феврале 2026 года злоумышленники из PseudoSticky продолжили атаки, в которых расширили список целей.

12 февраля 2026 года система F6 Managed XDR перехватила и заблокировала фишинговые письма с темами «Конструкторская документация по БЛА «ИТАЛМАС» (Изделие-54)» и «Извещение о судебном заседании по делу №26/1402-19932295123.14». Эти письма атакующие направили с использованием легитимных электронных почтовых адресов в адрес научно-исследовательской организации и приборостроительных предприятий.

Одно из таких писем отправлено от имени несуществующего ООО «Челябинский завод двигателей для авиации» с почтового ящика, который располагается на домене предприятия по производству дистилляционных аппаратов. Причём в качестве отправителя указан технический директор филиала фейкового предприятия в Петрозаводске, якобы расположенного по адресу: «пр. Победы, 12» – ни проспекта, ни проезда с таким названием в столице Карелии нет.

Второй электронный адрес относится к неофициальному информационному сайту судебной тематики, домен которого отчасти похож на домены официальных органов судебной власти. Письмо с этого адреса было отправлено под видом извещения о проведении судебного заседания 26 февраля 2026 года за подписью «секретаря областного суда».

Аналитики F6 считают, что атакующие целенаправленно использовали скомпрометированные адреса электронной почты, чтобы выдать вредоносные рассылки за письма от конкретных организаций.

Более подробная информация о январских и февральских атаках PseudoSticky, индикаторы компрометации - в блоге на сайте F6.