Paper Werewolf атакует российские компании новым стилером PaperGrabber и кастомными загрузчиками

Группировка Paper Werewolf известна своей нацеленностью на российские организации с 2023 года. Нынешняя кампания демонстрирует рост технического мастерства: атакующие активно экспериментируют с цепочками заражения, используют фишинговые PDF-файлы и установщики Inno Setup, а также постоянно дорабатывают собственные инструменты. Это позволяет им дольше оставаться незамеченными и извлекать конфиденциальные данные.

Кампания стартовала в марте 2026 года. Злоумышленники рассылали письма с PDF-вложениями, которые содержали ссылку на ZIP-архив. Внутри архива находился исполняемый файл, имитирующий установку легитимного плагина для Adobe Acrobat. На самом деле он скрыто запускал троян удалённого доступа EchoGather и подкладывал PDF-приманку. Пользователь, поверив в обновление, сам запускал вредоносную установку.

EchoGather позволяет собирать информацию о скомпрометированном устройстве: локальный IP-адрес, имя компьютера, имя пользователя, идентификатор процесса и путь к запущенному файлу. Троян также умеет загружать файлы на сервер управления и обратно, а также выполнять команды через интерпретатор командной строки. Интересно, что в новых образцах разработчики убрали явную инициализацию прокси из конфигурации, но добавили магический параметр, который вычисляется после проверок на виртуальное окружение. Это значение затем сверяется при обмене данными с сервером.

В ходе анализа инфраструктуры Paper Werewolf специалисты обнаружили файл DocDownloader.exe, связанный с сервером управления. Этот исполняемый файл оказался ранее не известным стилером на языке VB.NET, который назвали PaperGrabber. Он умеет собирать файлы с локальных, сетевых и съёмных дисков по заданному списку расширений. В этот список входят документы, изображения, файлы конфигурации, ключи SSH, сертификаты и многие другие типы данных. Стилер также крадёт учётные данные, сохранённые в браузерах, и извлекает сессии мессенджера Telegram. Вся собранная информация шифруется и отправляется на сервер управления. Кроме того, стилер ведёт лог активности и отправляет отчёт в Telegram-бот.

PaperGrabber состоит из нескольких функциональных модулей. Первый отвечает за сбор файлов, второй - за кражу сессий Telegram, третий - за извлечение паролей из браузеров, четвёртый - за мониторинг подключения съёмных носителей. При поиске файлов стилер обходит системные и служебные каталоги, чтобы не привлекать внимание. Отдельный интерес представляют файлы, в имени которых встречаются строки id_rsa, ssh, private, key - это указывает на целенаправленный поиск закрытых ключей для удалённого доступа.

Для телеграм-сессий стилер ищет каталог tdata в нескольких стандартных расположениях, включая папку AppData и пути из ярлыков. Если найден работающий процесс Telegram Desktop, он копирует данные из его папки. Для кражи паролей из браузеров используется механизм DPAPI - стандартный для Windows способ защиты данных. После расшифровки пароли сохраняются в файл вместе с URL и датой создания, после чего отправляются на сервер. Для браузера Yandex реализован отдельный модуль, так как его формат хранения отличается.

Ещё один компонент кампании - загрузчик на JavaScript, работающий через легитимный интерпретатор Node.js. Он устанавливает постоянство в системе через реестр Windows, используя ключ LOAD. Затем загружает шеллкод с сервера управления и выполняет его в памяти процесса. Адрес для загрузки формируется динамически с учётом имени компьютера и имени пользователя. Сам шеллкод на момент исследования не был доступен.

Параллельно обнаружен кастомный имплнт для фреймворка Mythic в составе RAR-архива. Он включает Python-загрузчик, C++-загрузчик и бинарный файл с обфусцированным шеллкодом. При запуске имплант создаёт мьютекс, расшифровывает строки, динамически получает адреса WinAPI-функций, а затем выполняет обмен ключами шифрования с сервером управления. Используется алгоритм RSA-4096 и AES. После установки сессионного ключа имплант отправляет на сервер детальную информацию о системе: имя пользователя, версию ОС, домен, архитектуру, список IP-адресов, уровень привилегий и другое. Команды от сервера выполняются в цикле с заданным интервалом ожидания.

Дополнительно в кампании применялся загрузчик на C++, замаскированный под форму заявки на обучение в лётной школе. Он проверяет наличие признаков виртуальной машины, извлекает документ-приманку и открывает его, чтобы отвлечь жертву. После этого загружает шеллкод с сервера и исполняет его в памяти. Аналогичный подход использовался в атаке с WSF-файлом, содержащим встроенный VBScript. Он открывает PDF-приманку в браузере, затем создаёт MSBuild-файл с C#-программой и запускает её через легитимный инструмент MSBuild. Эта программа в бесконечном цикле каждые 30 секунд запрашивает с сервера полезную нагрузку и выполняет её в памяти.

Последствия текущей кампании могут быть серьёзными. Злоумышленники получили доступ к учётным данным сотрудников, файлам конфигурации, закрытым ключам SSH и переписке в Telegram. Всё это позволяет им проникать глубже в корпоративные сети, похищать коммерческую тайну и нарушать работу предприятий. Особую опасность представляет возможность кражи ключей для удалённого доступа к серверам и инфраструктуре.

Группировка Paper Werewolf продолжает совершенствовать свои инструменты и методы. Использование нескольких этапов доставки, обфускация кода, проверка на виртуальное окружение и применение легитимных системных утилит для выполнения кода делают эти атаки сложными для обнаружения. Организациям, работающим в промышленности, финансах и транспорте, стоит усилить контроль за фишинговыми атаками, проверять вложения и ссылки в письмах, а также внедрять средства поведенческого анализа для выявления подозрительной активности в памяти процессов.

Domains

• arrotech.org
• certcalc.online
• ntpluck.online
• ntpsum.online
• ntptop.online
• ssltop.online
• woburneast.com
• zeccecard.com

URLs

• https://arrotech.org/pathclass/33205/freehash/katy
• https://certcalc.online/certificate/calculate/G8OftO2lyUuRHa8wBuqR7wcOfAcirSnrp0PCsA3ST17RjjL7JQ
• https://ntpluck.online/29mNqbkQB96clqjJMRsdVKa94ILLxbFclUe3wf4KSx0rRPtI9M/download/eeab4aec6ad3b271c303d927db55de273bbca008ebf00e06898336c6f3010296
• https://ntpsum.online/sum/M8suINj3ZFi22GMAUdCJH639vDrI2G4zdTWm2rpE5plxsr17Eg
• https://ntptop.online/VaukY9uSiPjpylxpDeTXQgmh0QLy2Q9I8kYY6OFyt0wFqz3yZF/upload
• https://ssltop.online/l402XY5rTBxLPOJDTnqlRCePwy2puTnieDSFVaHEKOyb0Eqh3y/download/32712a3f7ec72fac4535b47017135a72b4994ee69440eff95221fed673d41fdc
• https://woburneast.com/171751/20020722/1306wicadigi023.pdf
• https://woburneast.com/t2376/dom/fwcookiemanager/bs_afp/872794
• https://zeccecard.com/116739/person_image/1167273647/48980/cis8petition/0201787911?asdzq
• https://zeccecard.com/grain/duke

SHA256

• 183a31a1615a18a6a9a86be41d342e4b5b10b0266ac6970ae46dc7e9d194307d
• 3a4d84886713695f3b3812a0a3733f9ce74b4614c881f9774995c01c61d09cf3
• 3c3ea0512687ff086c605cb6d331d0d588c39f362ee5bc580059b481410c1585
• 4100708d2b461def58653a46344ec73aaabf2fafe4a2ebf27855b7b53dc30184
• 4394ff157a86a44e5694ba40c93a982ac17c2f70c727b00efee63528f64b95de
• 4b8f437cd41c53a698c430a975fc7074e374712aca4c52fa49a8ab395b184f88
• 5454f4811de9b1bf3b0e47cf8bad8e8e915b7379a0f3dffd5d36dcad26bdc03b
• 551b705761a0d6015d596f0ce98d3552152e2c226ff57f89a3e315b6bb035956
• 58f911d183b09ef9d587d1e59a5d17f9273581cee9891f4642e349b4f9f678b1
• 64cda4837fc50bd651078d9a3925d6c8993a3b5426fba19cef16bd02c96e0520
• 6a997b7799f0ccb241219995ea275ffbf99d22a3777b442e7bb7ab907aef3641
• 71ad29aeabbbd78b7414541e48064a0bfb9d96b47d7a3a48f53729817fe54ab5
• 77e1510002a5b04beadf7e5b7e8a96242849187a053906429e9c6a8d1facc0d1
• 7b80c3055432a07680932778e2709e392b6b9dea21157badea76a14a4fc1f93a
• 7d6d07b42f1b2a0728ae7b7ede14daf195d2b7baa1325065c4877e8db93e2c4f
• 8ae62e8a521a79e1ddfa4e360d5abce992bb671644ca7473c02dcfa120e575d1
• 8b80626c8a42fe35c5d1fd2e1372fb57cfcf8b9eb969b1580350461389d227cc
• 938dac6227e47fed245ad25d289489d67e574882430652b5fb7b6368e262e873
• a208308930bf17df50e52cc0dcd14555e853c6da413836b60bf906f73ac94d9c
• a4eacfe2fabb1eb5d888dfb5275506c12137cd54f603bc069d7e1767aa5f82f9
• a6e0fc5de3e7ab1c6d0041f43a460bc3f3a02383c683223e684239ff65879140
• ad8c30add66c0043299fac827f1ffa174c786bcff846184cd2c135024c1d340b
• c5645cbd4295278a23c243e79a3f519b9a6ca8b59f7a4afa92c77e6ed737f080
• def336fa0f8dfcc60f85a7a862e07730d0e99052515d1b5f7bbdd435de595aee
• e5edd8e5efb1ffc1804ac51f88f7401d91f9b0fd8cd3da1ba0a5fab401523446
• f3b5fa2d1cca8b4f232e08fb4bb64241f0caac93fc366deda7c23b6b6d7b4905
• f4a81dc69b87062e61bede3bf9f78b4d5f8df6afd856cacd6f1748370886d002
• f52d67e5b3e48208073dddd1c22728085a36744fdc91a0ca767cae6db9cdea74