Киберпреступная группа Fluffy Wolf, известная также под псевдонимами VasyGrek и RTM, в первом квартале 2026 года продемонстрировала устойчивую фоновую активность, направленную против российских организаций. С января по март эксперты зафиксировали 30 уникальных образцов вредоносного программного обеспечения, использованных в атаках. Наибольшее число инцидентов пришлось на январь - 12 случаев, тогда как в феврале и марте их количество составило 8 и 10 соответственно. Эти данные указывают на то, что группа не делает резких пауз, а действует равномерно, поддерживая постоянное давление на цели.
Описание
Специалисты компании Positive Technologies (PT ESC) в конце января обнаружили новую кампанию, нацеленную на организации финансового сектора России. Злоумышленники использовали классический, но эффективный вектор - фишинговые письма. Сообщения приходили с темой "Акт сверки и претензия", что должно было вызвать доверие у бухгалтеров и финансовых работников. В теле письма содержалась ссылка на архив, размещённый в публичном репозитории GitHub. Такой приём позволяет обойти многие почтовые фильтры, поскольку GitHub - легитимный и широко используемый сервис.
Архив содержал запутанный BAT-файл с именем pretenziya_27012026_akt_sverka_1C_PDF.bat. Его код был обфусцирован - насыщен множеством операторов SET и GOTO-переходов между метками. После запуска скрипт декодировал блок данных, закодированный в Base64. При этом перед декодированием каждое вхождение подстроки "h@" заменялось на "d". Полученная строка затем исполнялась через PowerShell. Параллельно BAT-файл копировал себя в каталог C:\ProgramData\avtoproxi.bat и добавлял в автозагрузку - так вредонос закреплялся в системе.
Расшифрованный PowerShell-скрипт, в свою очередь, загружал изображение из одного из двух источников: Firebase Storage (firebasestorage.googleapis.com) или стороннего CDN (modaaura.store). Содержимое изображения содержало вставки между маркерами BASE64_START и BASE64_END. Между ними находился ещё один закодированный блок - .NET-загрузчик под названием AndeLoader. Этот загрузчик скачивал исполняемый файл по URL, указывающему на текстовый файл в том же репозитории GitHub (vc27012026upload.txt). После скачивания AndeLoader запускал легитимный процесс MsBuild.exe и внедрял полученный код в его адресное пространство - классическая техника "живи вне земли" (living off the land), позволяющая обойти сигнатурные детекторы.
Конечной полезной нагрузкой оказывался PureRat (PureHVNC) - троян удалённого доступа с функцией скрытого управления рабочим столом. PureRat даёт злоумышленникам полный контроль над заражённой машиной: они могут просматривать файлы, копировать данные, запускать команды и даже следить за действиями пользователя в реальном времени через скрытый просмотр экрана. Этот инструмент особенно опасен для финансовых организаций, где доступ к платёжным системам и базам данных может привести к крупным хищениям.
В репозитории sergo20261 исследователи обнаружили три связанных проекта (proxihost, proxi, text), содержащих множество вспомогательных файлов: Rust-загрузчики PureRat, сами исполняемые файлы трояна, а также текстовые файлы с Base64-кодированными данными, используемые в промежуточных стадиях доставки. Такая многоступенчатая архитектура усложняет обнаружение и анализ атаки в реальном времени.
Отчёт PT ESC уточняет, что география атак Fluffy Wolf ограничена Россией, а список целей включает не только финансовый сектор, но также здравоохранение, логистические компании, медиа, развлечения, розничную торговлю, сельское хозяйство, строительство, технологические компании и энергетику. Таким образом, группа представляет угрозу для широкого круга организаций, независимо от их профиля. Однако именно финансовый сектор оказался в фокусе январской кампании.
Fluffy Wolf действует с 2021 года и за это время накопила значительный арсенал инструментов - от программ-вымогателей до стилеров и майнеров. В её распоряжении RTM, MetaStealer, PureCrypter, Redline, PureLogs, zgRAT, xmrig_miner, AveMaria и BurnsRAT. Такое разнообразие позволяет быстро адаптировать тактику под конкретную цель. Например, в описанной кампании злоумышленники не стали использовать вымогательское ПО, а предпочли троян удалённого доступа - возможно, чтобы собрать данные для последующего вымогательства или продажи.
Особую тревогу вызывает использование легитимных облачных сервисов (GitHub, Firebase) и техники внедрения в доверенные процессы. Это делает атаки более скрытными и требует от служб информационной безопасности более глубокого поведенческого анализа, а не только проверки сигнатур. Для защиты организаций эксперты рекомендуют усилить контроль за автозапуском, ограничить возможность выполнения PowerShell из писем, а также внедрить мониторинг подозрительной сетевой активности, в том числе обращений к облачным CDN и Firebase.
Стоит подчеркнуть, что Fluffy Wolf не является APT-группировкой в классическом понимании, но её активность носит целенаправленный и методичный характер. Учитывая, что в первом квартале 2026 года зафиксировано 30 образцов, а кампании следуют одна за другой, российским компаниям стоит обратить пристальное внимание на защиту от фишинга и многоступенчатых атак, использующих легитимные ресурсы. Без своевременных мер обнаружения и реагирования последствия могут оказаться серьёзными - от утечки конфиденциальных данных до остановки бизнес-процессов.
Индикаторы компрометации
IPv4
- 62.84.98.217
Domains
- modaaura.store
MD5
- 7977da6c4fd4c63e6b92b9a475d214ca
- f7a8426946a681afd0326bbfbfea38fd