Компания BI.ZONE рассказала, что весной 2025 года хакгруппа Silent Werewolf провёла две новые кибератаки. Для этого Silent Werewolf использовала новые вредоносные программы. В ходе атак применялись уникальные загрузчики. Эти программы устанавливаются на компьютер и скачивают вредоносное ПО. Для доставки загрузчиков использовались фишинговые письма. В некоторых письмах содержались советы по кибербезопасности, чтобы не вызывать подозрений.
Silent Werewolf изменила подход. Теперь вместо вредоносной программы может загружаться легальный файл. Это файл языковой модели LLaMA. Такое поведение сбивает с толку защитные системы. Если загрузчик попадает в систему, которая не интересует преступников, то он загружает именно этот файл. Так же происходит, если файл попадает в песочницу или запускается повторно. Это мешает специалистам по кибербезопасности изучать атаки.
Если же загрузчик активен на нужной цели, он загружает вредоносную программу. После анализа стало известно, что, вероятно, использовался стилер XDigo. Это инструмент для кражи данных, созданный самой группой.
Обе кампании прошли в марте 2025 года. Первая была направлена на российские компании. Вторая — на организации из Молдовы и, возможно, снова из России. Всего под атаки попали 80 организаций. Среди них — компании из атомной, приборостроительной, авиационной и машиностроительной отраслей.
