Специалисты BI.ZONE Threat Intelligence зафиксировали волну атак группировки Vortex Werewolf на российские оборонные предприятия и госорганы. Вредоносная кампания длилась с декабря 2025 года по январь 2026 года. Злоумышленники присылали жертвам фишинговые ссылки, замаскированные под файловое хранилище Telegram.
Эксперты рассказывают, что пользователю приходило сообщение со ссылкой на якобы важные рабочие документы. Ссылка выглядела как файловое хранилище Telegram. При этом злоумышленники могли отправлять такие сообщения напрямую в мессенджере или через электронную почту.
Если жертва переходила по ссылке, начинался процесс «восстановления доступа» к аккаунту Telegram. У пользователя запрашивали код подтверждения с другого устройства, а при включенной двухфакторной аутентификации — еще и облачный пароль. Якобы для того, чтобы документ мог отобразиться полностью. На самом же деле атакующие получали доступ к активной сессии мессенджера жертвы со всей перепиской и контактами.
«Компрометация Telegram-аккаунтов может быть интересна злоумышленникам сразу по нескольким причинам. Полученные контакты можно использовать для дальнейшей рассылки фишинговых ссылок, причем делать это с угнанного аккаунта, чтобы сообщения выглядели достоверно и не вызывали подозрений. Кроме того, многие пользователи до сих пор хранят в "Избранном" фото и сканы документов, ссылки на рабочие ресурсы, нередко даже логины и пароли — словом, важную информацию, которая должна быть под рукой. К сожалению, этим активно пользуются атакующие, для которых такие сведения представляют большую ценность», — комментирует Олег Скулкин, руководитель BI.ZONE Threat Intelligence.
Отмечается, что только угоном Telegram-аккаунта дело не ограничивалось. После ввода кодов и паролей на устройство жертвы загружался ZIP-архив. Внутри находился вредоносный файл, замаскированный под PDF-документ, и скрытый каталог с дополнительным архивом. При открытии «документа» запускался вредоносный скрипт, который обеспечивал злоумышленникам удаленный доступ к системе пострадавшего.
Для скрытого управления зараженным устройством хакеры разворачивали на нем OpenSSH и Tor, через который направлялся весь трафик, чтобы скрыть соединение.
Эксперты пишут, что группировка Vortex Werewolf специализируется на шпионаже и активна как минимум с декабря 2024 года. Незадолго до описанных атак исследователи компаний Cyble и Secrite выявили похожую кампанию этой группы, нацеленную на белорусские оборонные предприятия и государственные организации.
