Группировка Rare Werewolf перешла на новый уровень: C#-дроппер, GitHub Gist и скрытый AnyDesk в атаках 2026 года

В марте 2026 года эксперты подразделения PT ESC (входит в структуру Positive Technologies) зафиксировали новую кампанию Rare Werewolf, которая кардинально отличается от прежних методов. Если раньше злоумышленники рассылали запароленные архивы с универсальными легендами (например, "оплата", "договоры", "закупочная документация"), внутри которых лежал один исполняемый файл, то теперь они используют сложный двухэтапный сценарий заражения.

Специалисты PT ESC в своём отчёте подробно разобрали механизм атаки. Ключевым элементом стал C#-дроппер - небольшая программа, содержащая в теле зашифрованный массив байтов. Расшифровка выполняется в два этапа: сначала массив обрабатывается операцией XOR с 8-байтовым ключом, затем в результирующих данных ищется заголовок ZIP-архива, после чего метод сжатия принудительно заменяется на Deflate. Все действия происходят во временной директории, а журнал работы дроппера сохраняется в файл ghost_trace.log. Итогом работы становится архив data.zip, который распаковывается на узле жертвы.

Внутри архива находятся: документ-приманка "структура компании1111.docx", легитимный исполняемый файл AnyDesk (any_svc.exe) с конфигурацией svc.conf, утилита NirCmd под именем hider.exe, пакетный файл run.bat и три PowerShell-скрипта - clean.ps1, deploy.ps1 и monitor.ps1. Цепочка заражения инициируется запуском run.bat и состоит из трёх этапов.

Первый этап выполняет скрипт clean.ps1. Он удаляет любые ранее установленные экземпляры AnyDesk на компьютере жертвы: останавливает процессы, соответствующие шаблону AnyDesk*, удаляет файлы из стандартных путей %APPDATA%, %LOCALAPPDATA% и %ProgramData%, а также стирает соответствующие ключи реестра. Эта "чистка" гарантирует, что у злоумышленников не возникнет конфликтов с уже работающим удалённым доступом.

Второй этап запускается скриптом deploy.ps1. Он создаёт рабочую директорию %LOCALAPPDATA%\GhostExt, размещает в ней конфигурационные файлы AnyDesk и устанавливает на них доступ только для чтения. Затем запускаются any_svc.exe и hider.exe. После этого скрипт получает идентификатор экземпляра AnyDesk командой --get-id и отправляет его в виде heartbeat-запроса на страницу GitHub Gist через API api.github.com/gists/<gist-id>/comments. Таким образом злоумышленники узнают, что жертва успешно заражена, и получают уникальный идентификатор для подключения. Наконец, deploy.ps1 создаёт LNK-файл SystemCheck.lnk в папке автозагрузки пользователя для запуска скрипта monitor.ps1 при каждой перезагрузке.

Третий этап - скрипт monitor.ps1, который работает в бесконечном цикле. Он с помощью NirCmd постоянно скрывает окна процессов any_svc.exe и AnyDesk.exe, чтобы жертва не заметила посторонние приложения. Если по какой-то причине процесс any_svc.exe исчезает, скрипт перезапускает его через hider.exe. Кроме того, monitor.ps1 автоматически нажимает кнопки в окнах уведомлений брандмауэра Windows с заголовками "Оповещение системы безопасности" на русском, английском и украинском языках. Это нужно, чтобы разрешить программе доступ к сети без ведома пользователя.

Эта кампания демонстрирует существенную эволюцию тактик Rare Werewolf. Во-первых, изменился канал управления: вместо эксфильтрации данных по SMTP через консольную утилиту Blat (как было раньше) злоумышленники используют heartbeat-канал через комментарии на странице GitHub Gist. Во-вторых, доставка полезной нагрузки усложнилась: теперь все компоненты не просто упакованы в архив, а внедрены в C#-дроппер, что затрудняет детектирование простыми антивирусными фильтрами. В-третьих, появился этап принудительного удаления ранее установленного AnyDesk - это мешает жертве использовать собственную версию программы и позволяет атакующим получить монопольный доступ. И наконец, активное сокрытие на узле вышло на новый уровень: в отличие от разового закрепления в автозагрузке, используется резидентный скрипт, который в реальном времени прячет окна и поддерживает постоянное присутствие.

Последствия атак Rare Werewolf могут быть крайне серьёзными. Получив интерактивный доступ через AnyDesk, злоумышленники способны развернуть на скомпрометированном узле программы-вымогатели, похитители данных, шпионские модули или использовать его как точку входа во внутреннюю сеть. Учитывая, что география атак охватывает страны СНГ и Восточную Европу, а цели включают оборонные предприятия, госорганы и критическую инфраструктуру, каждый такой инцидент представляет прямую угрозу национальной безопасности. Организациям необходимо усилить мониторинг подозрительной активности, особенно появления незнакомых экземпляров AnyDesk, а также контролировать PowerShell-команды и взаимодействия с API GitHub. Специалистам по информационной безопасности стоит обратить внимание на журналы временных директорий, появление файла ghost_trace.log и факты создания LNK-файлов в автозагрузке. Только комплексный подход - своевременное обновление сигнатур, поведенческий анализ и обучение персонала - поможет снизить риски от этой быстро эволюционирующей группировки.

IPv4

• 213.111.187.91
• 91.84.125.103
• 94.103.80.112

Domains

• aero-shop.fun
• bass-airo.online
• tofice.space
• woffice.top

MD5

• 53773f3392de59bee03276ad63a547c3
• 5dfb27e14fc3bd067d6d9efe4f409d23
• 69c862fef78b72735c3b769468aab78b
• ecdbbb402039cd15b95528ab957ab672
• f5bb8ae7238e46ba5d4a25399d6fff08