Три хакерские группировки атаковали пользователей Starlink и операторов дронов через поддельные приложения

Участники кампании активно использовали новостную повестку для проведения целевых атак. Они не только внедряли вредоносные программы, но и захватывали аккаунты в Telegram, чтобы в будущем применять их как доверенные каналы для дальнейших атак. Отдельного внимания заслуживает факт применения генеративного искусственного интеллекта одной из группировок для создания инструментов, что значительно ускорило разработку вредоносного кода. Кроме того, Eagle Werewolf удалось скомпрометировать Telegram-канал, посвящённый дронам, чтобы распространять вредоносное ПО.

Группировка Paper Werewolf использовала собственный Telegram-канал для распространения трояна удалённого доступа EchoGather. Он маскировался под приложение, якобы позволяющее добавить устройство Starlink в список исключений для обхода ограничений, введённых производителем на территории России. Вредоносный файл Registration_Starlink.exe представлял собой дроппер на языке C#. При запуске он отображал поддельное окно защиты документов, а в фоне расшифровывал и исполнял полезную нагрузку. Для просмотра поддельного документа жертве требовалось ввести код 14022026. После этого на устройстве оказывался вредоносный файл mssw.exe, отвечающий за сбор системной информации - IP-адресов, архитектуры системы, имени устройства, пользователя и других данных. Trojan EchoGather также проверял, не запущен ли он в виртуальной среде, и при успешных проверках отправлял собранные сведения на командный сервер по зашифрованному каналу. Кроме того, Paper Werewolf занималась фишингом: та же группа в Telegram размещала ссылки на промежуточные фишинговые ресурсы, где под видом подтверждения доступа к Starlink пользователь перенаправлялся на страницу восстановления аккаунта Telegram. Введённые данные отправлялись злоумышленникам, а в запросе указывался их Telegram-канал @strlnk_spprt2.

В ходе расследования выяснилось, что Paper Werewolf также использовала ресурс battleflight[.]org для распространения EchoGather под видом установщика тренажёра управления дронами BattleFlight. Принцип атаки был схож: дроппер на C# открывал окно якобы установки, а в фоне сохранял и запускал вредоносную программу. Эта версия EchoGather дополнительно выводила сообщение об ошибке после завершения установки, чтобы скрыть свою активность.

Versatile Werewolf, в свою очередь, применяла сайт stardebug[.]app, который предлагал альтернативную программу управления терминалами Starlink. Установщик MSI извлекал несколько скриптов, в том числе PowerShell и VBS-файлы, созданные, предположительно, с помощью генеративного ИИ. На завершающем этапе запускалась легитимная утилита Windows Features on Demand, в память которой подгружался вредоносный модуль Sliver - инструмент постэксплуатации, позволяющий получить полный контроль над системой. Этот же кластер Versatile Werewolf управлял ресурсом alphafly-drones[.]com, имитирующим легитимный сайт для обучения пилотированию дронов. Установщик AlphaFlyInstallV1-2.msi скачивал и исполнял JavaScript-троян, который мы назвали SoullessRAT. Эта программа могла загружать файлы, делать снимки экрана, собирать системные данные и выполнять команды удалённо.

Третья группировка, Eagle Werewolf, проявила себя в феврале 2026 года, скомпрометировав один из крупных Telegram-каналов о дронах. Сначала злоумышленники подготовили аудиторию, объявив о запуске приёма заявок на активацию Starlink. Затем через специальный аккаунт поддержки распространили архив Checklist.zip. Внутри находился дроппер на языке Rust, который после прохождения капчи расшифровывал и запускал следующую стадию - Go-дроппер updater.exe. В отчёте отмечается, что этот дроппер извлекал несколько PowerShell-скриптов, которые создавали скрытую учётную запись и SSH-туннель для удалённого доступа. Один из скриптов также добавлял задачу в планировщик Windows, обеспечивая закрепление в системе. Для связи с командным центром Eagle Werewolf использовала ранее неизвестный Rust-троян AquilaRAT, способный выполнять команды, загружать и скачивать файлы, а также сканировать систему на наличие определённых типов данных.

Все три группировки нацелены на шпионаж в интересах, вероятно, российских государственных структур. Их жертвами стали государственные организации, промышленные предприятия и лица, связанные с разработкой дронов. Кампания показала, насколько быстро злоумышленники адаптируют свои инструменты под актуальные темы и используют методы социальной инженерии. Специалистам по информационной безопасности следует усилить мониторинг подозрительных приложений, особенно связанных с регистрацией Spacelink или тренировочными симуляторами для операторов дронов, а также внедрить многофакторную аутентификацию для защиты аккаунтов в мессенджерах.

IPv4

• 104.194.158.63
• 203.161.56.226

Domains

• alphafly-drones.com
• battleflight.org
• battleflight.pro
• certcheck.online
• cloudanalitics.net
• configurationserv.com
• curtainbeatdisturbance.com
• for8service.net
• mystarlink.org
• prodacserv.net
• re-link.space
• serverscreen.net
• servicefor8.com
• servupdate.net
• stardebug.app
• syncheaven.online
• synchro-service.com
• toolsserv.com
• updateserv.net
• updatewin.net
• web-tellegram.org

URLs

• http://203.161.56.226/public/catalog/machine/register
• http://203.161.56.226/public/starlink
• http://203.161.56.226/public/starlink/starlink-v2
• http://cloudanalitics.net/tunnel/register
• http://configurationserv.com/tunnel/register
• https://battleflight.org/download/installer
• https://battleflight.pro/static/media/BattleFlight_Installer.exe
• https://certcheck.online/certificate/check/Wi5kyh3yFeUF2VhIiFX572eR3870GxYrk7f1Q7MLV5vJ3xGnf4
• https://newfolder.click/?cid=9ebeb834a451460e&mod=main
• https://newfolder.click/9ebeb834a451460e
• https://prodacserv.net/array/array10.json
• https://servupdate.net/array/array9.json
• https://stardebug.app/static/files/StarDebug_1.0.1.msi
• https://syncheaven.online/sync/now/ru/moscow/fetch
• https://synchro-service.com/array8/array8.json
• https://updateserv.net:443/backup/get-time
• https://updateserv.net:443/backup/update-subtask-status
• https://updateserv.net:443/check
• https://updateserv.net:443/clients/files
• https://updateserv.net:443/cmd/upload-result
• https://updateserv.net:443/file/uploadChunk
• https://web-tellegram.org/ru
• https://web-tellegram.org/socket.io/?EIO=4&transport=polling&t=ikzknftw&sid=0TY7i-pDpxsIn8b4ABJ6
• https://www.alphafly-drones.com/downloads/AlphaFlyInstallV1-2.msi

SHA256

• 09c83fc5f1656cc4be749c64bfc53d2ef612c9b79dc3937b8bb137754c82216a
• 10b6d2cb69d9902afc2157c81b31b066ffd53e9deb156787b68e4fdea2c081b4
• 1951325e1bf6f927ae4bd57fec4d2b5b893cdac2d98c010ef716db254e8d4e7f
• 34db59b663c15cd03cdd92bf24bdff25b756dd51f0540fecaac2a0cab47480ae
• 376276fb34d3ce82f2e15b3b27978ffce1896320f4ba226c1eeda778e1fe5714
• 3d280f5bb4e1eba8c1a65c7d17411286f7b3dbe7db48130f7d5a3be421ffc2ae
• 3fe1405a47d1f58c1f7b54d12de574542b32e6d67586d43f119575b906da0a38
• 4263c458ef216f8e2524462ea3efe79be44492d51143a519081c429c3c24c166
• 471e5e26a0e0796e79e0ef09a0565b7e50c3ff39da0ba42a45c35dcc3922dc2c
• 487154b1e2a96627d1eeb5d679e3e37269a27701f32b8769b6aa9f9ea640a53c
• 5047eae07f5d4dca559c5e04d60ecd775fce4e448d00f7b61c38b737ecbd5586
• 5058b50371a666a585e2438b113825ea07a525b1fe3529a6988e2416d5b4e89d
• 54318d50f463de10661d13701c2acd183a3bd00ea0d01fd74ccdb778f073ea7a
• 5869fb9280846dd77c3fb38b976cf760f889481947cda76a779cf69f48d57daa
• 5c23d87edca803f7579129a0f6cc18796f67bf55b0c9d053e47edd5f9b501b62
• 5d759393935faa272f3a7b2dd827d010abd40ead178aba45b360c83ebbcd5e84
• 6498d18edb1d440783ae1e7921ebd491872b81b91968bcb246086bf1e08b68f6
• 677c5ad47c8feaf6a5c0b084060347bcf48f0ccadcdf951b3d48553f4520feaa
• 688a1dc207ead232cb8ae6f67fcca1cf7892d83a01af024c404e636cb6ba4cb2
• 71155a0940a2c19789d8a8efb285ac3dff5d680a93902901afe6cc893f278ce9
• 80419e4fbe836b59f96697a8b35acb9903d34796e12ea0cd2349b3c01fe3f9e8
• 82254b86590762b2946c6584db35d3872a5d6b85d30e8c07adb95de2126a4f97
• 88ebed34ab9ff0e16dc32b789fc25295ea570f86244e89cb68803c517597cfdd
• 8ac118cc76584487b7f71d91fee2c344a7e33ee8043043920895e9851fa257e2
• 9292fae9b63203cdc0cb204b53314d056e01fc760707dcaa89e66e43d688b25e
• 996df9ce30ace63c0c516cbacfa4e308b555a2d2c44c9d6550b543b9fccc845d
• a20870bee771efe1ea01761d7978cc7b68b0a3c32c617675464f9c4dbe0a5d66
• aa52dd66071b673416947a798d1f5118405eb94476db08a2ada2eaa5bdeeb276
• aa5f6d919f0f7055e7a22c566463615f208f0b70e5cc56a927baa95796432dcb
• b965badd209359e7b19c423e321193b308101b844bdf14704228e27f46c7ffe0
• b97fba0accfaf94ae416c2cf1a17a01c281c5565c80fb525ee00f1191a62eff9
• bbbb345cf004992fd8a0ca8c900458f15d6ae939f7f41a60c28a67475af59289
• bcc9f8baa79c96e6adfbef6dc35d841b63b5c09029f9845fe52bcd76b53a51b9
• c1fbd66467449d3c8d9d07a939843a49fad9de9ac484241d52f0d5a94299ca62
• c2a86a9fe38f46eea465290e68c8ee90e474acd3c3fa5f0b6704168965e98f8b
• c43fea1537004b69e1d7b7897af22e7813f4a86f4a53fa44263d3998bfef3a25
• c9c9cf72eaf105be6345aef989c88c27d75bbad935efbc349232b84939d59499
• cde5ea7788856304e869254fdc90e76adf6990651b72c7351609e707fbf36c0e
• d55a9680b9df14da5e434d5839734c1ed7d9a44348bfd4868e36682203282cc4
• d8ad86cf071b914cc0e828c5b3ff68a72fb5ce776f49dd2aa3f56e7d8af142f8
• dbf9a2d1936df83e9764c0233623b581c8e0bf9e331ff0a636721438ce7a1dd5
• dc6243760263153e4245d8ca37821d2ff2889c78bcd9e9849050e10e26ac3fb3
• df1d20e392f7b7c5c408bdda317e0733e5ec27a973e3bf75034c6566343aa67f
• e1f359773da3b014389018ef8a22a15acb2157b43cff5f507237ca7093174b11
• e321a2348bfba68e642f8b13bbdbebc394a4364bddbdadf8b37e4bff80200de1
• e8de53d4c7558b836f701af0f2e6db5807b10cf9a0d10543bb53357c17b936b3
• ea312fc2bc4dffcaa69d4308ed9d58ae26051285777bbf05665eb625d94dab27
• edb4e02547daba247fea1f95d5a45f4cf0cc2a35259cd2e07ae5f99c76910751
• ef72cd3ed4b2d86466ad674b09f077f68909038fba8015f95cfddbf4f53900d4
• f8c10fd2b3d254cff0c7927c188a7751568fe7ff3eace1de83bb3148bc14a339