Группировка Tolik активизировалась в первом квартале 2026 года: новая кампания с HTA-файлами и сменой скриптового движка

В начале 2026 года российские организации из ключевых секторов экономики столкнулись с волной атак со стороны малоизвестной, но быстро наращивающей активность группы Tolik (также известной как Fairy Werewolf). Судя по статистике, за первый квартал злоумышленники распространили 44 уникальных вредоносных образца. При этом динамика вызывает тревогу: в январе было зафиксировано всего 5 образцов, в феврале - 12, а в марте - уже 27. Особый интерес операторы Tolik проявляют к правительственному сектору, производственным предприятиям, розничной торговле, финансовым учреждениям и энергетике. Такое разнообразие целей указывает на то, что группа не ориентируется на одну отрасль, а стремится проникнуть в критическую инфраструктуру и получить доступ к ценной информации.

Описание

Наибольшее внимание специалистов привлекла кампания, зафиксированная в самом конце марта. Она построена на рассылке фишинговых писем с вредоносными вложениями - архивами, содержащими HTA-файлы (HTML Application - технология, позволяющая запускать скрипты в доверенном окружении Internet Explorer). Специалисты компании Positive Technologies обнаружили эту активность в рамках мониторинга киберугроз. Каждое такое письмо содержало архив, после распаковки которого на компьютере жертвы оказывалось сразу четыре HTA-файла. Каждый из них выступал в роли стартового загрузчика, то есть первого этапа сложной многоступенчатой атаки.

После запуска HTA-файл извлекал содержимое из скрытых HTML-блоков, которые были закодированы внутри самого файла. Затем этот код собирался, формировал исполняемый скриптовый блок, после чего начиналась установочная логика: вредонос создавал рабочие директории в профиле пользователя, записывал в реестр конфигурацию и фрагменты следующих стадий, а также сохранял на диск JS-скрипты, которые использовались как локальные загрузчики. Все четыре HTA-файла реализовывали одну и ту же логику и отличались лишь именами каталогов, веток реестра, названиями сброшенных файлов и служебными идентификаторами кампании.

Чтобы закрепиться в системе, злоумышленники применяли два механизма. Первый - запись в ключ реестра RunOnce (однократный запуск при старте системы). Второй - создание задачи в планировщике Windows, которая обеспечивала регулярный запуск скриптов через wscript.exe. Дальнейшее выполнение происходило уже через JS-лоадеры, которые считывали данные из веток HKCU\Software, собирали код из нескольких частей, декодировали его и запускали в памяти. Таким образом, вредоносный код не оставлял на диске исполняемый файл - он работал исключительно в оперативной памяти, что затрудняет его обнаружение традиционными антивирусами.

Одно из ключевых изменений в тактике Tolik - переход от VBS (VBScript) к JS (JavaScript). При этом общая архитектура осталась прежней: HTA по-прежнему используется как стартовая стадия, основная логика и конфигурация выносятся в реестр, а закрепление выполняется через RunOnce и планировщик задач. Смена скриптового движка может быть связана с тем, что JavaScript лучше сопротивляется анализу, а также с тем, что в современных системах VBScript постепенно выводится из эксплуатации.

Конфигурация, записываемая в реестр, содержит перечень пользовательских каталогов и расширений файлов, которые представляют интерес для операторов. Среди них: офисные документы (doc, docx, xls, xlsx, csv, rtf, odt, ods), PDF и текстовые файлы (pdf, txt), архивы (zip, rar, 7z, tar), изображения (jpg, jpeg, png, heic), инженерные и GIS/CAD-форматы (vsdx, vdx, cdr, kmz, kml, dwg, dxf), а также резервные копии и конфигурационные файлы (bak, ovpn, ldk, set). Такой набор расширений типичен для групп, занимающихся целевым шпионажем: они ищут не только документы и базы данных, но и чертежи, карты, конфигурации VPN и систем резервного копирования.

По-прежнему неясно, каким образом Tolik доставляют фишинговые письма - возможно, через скомпрометированные почтовые ящики или легитимные сервисы рассылок. Однако ясно одно: операторы группы действуют всё агрессивнее, а их методы становятся более изощрёнными. С учётом того, что атаки направлены на государственные учреждения и предприятия, обеспечивающие жизнедеятельность страны, такая активность представляет серьёзную угрозу. Проникновение в инфраструктуру может привести к утечке конфиденциальных данных, нарушению работы промышленных систем или даже к краже интеллектуальной собственности.

Для организаций, которые хотят защититься от атак Tolik, важно усилить фильтрацию входящих писем, особенно тех, что содержат архивы с HTA- и JS-файлами. Полезно также внедрить поведенческий анализ на конечных точках: даже если вредонос проникнет в систему, его попытки записать данные в реестр или создать задачу в планировщике могут быть заблокированы правилами EDR. Кроме того, стоит ограничить использование wscript.exe и cscript.exe для пользователей, которым эти утилиты не нужны в работе. Но главное - не забывать о регулярном обучении сотрудников: фишинг остаётся самым популярным вектором проникновения, и бдительность человека способна прервать атаку на самой ранней стадии.