Специалисты BI.ZONE Threat Intelligence сообщили о новых атаках группировки Fluffy Wolf на российские компании. С марта по май 2026 года злоумышленники атаковали организации из сферы строительства, консалтинга, инжиниринга, ритейла, e-commerce и промышленности. Основным вектором стали фишинговые письма с якобы финансовыми претензиями и требованиями погасить задолженность.
В письмах хакеры выдавали себя за партнеров или подрядчиков компаний-жертв. К посланиям прилагались «акты сверки», «претензии» и другие документы, которые на деле оказывались архивами с малварью. Иногда вложение прикреплялось напрямую, а в других случаях жертве предоставляли ссылку на GitHub-репозиторий, откуда загружался RAR-архив.
По словам исследователей, Fluffy Wolf активно использует GitHub, потому что такие ссылки выглядят легитимно и помогают обходить почтовые фильтры и другие средства защиты. В итоге вероятность того, что пользователь откроет вредоносный архив, заметно возрастает.
Внутри архивов находились различные загрузчики и дропперы, предназначенные для доставки вредоносов PureLogs, PureRAT и шифровальщика Pay2Key. Подчеркивается, что собственный инструментарий группа почти не разрабатывает: большинство компонентов покупается в даркнете по модели malware-as-a-service (MaaS, «малварь-как-сервис»). Так, годовая подписка на PureCrypter стоит около 449 долларов США, PureLogs — 1250 долларов США, а PureRAT — 1499 долларов США.
Отдельное внимание специалисты уделили новому загрузчику PowerLoader, который ранее не встречался в атаках Fluffy Wolf. Этот инструмент написан на C++ и запускает PowerShell в скрытом режиме, получая скрипты с управляющего сервера. Далее вредонос скачивает и запускает PureCrypter, который уже разворачивает финальную полезную нагрузку.
«В новой кампании группировка снизила затраты на реализацию атаки: загрузчик PowerLoader обошелся ей примерно в 120 долларов. Суммарная стоимость всего арсенала ВПО оценивается в несколько тысяч долларов. В случае успешной атаки кластер может получить огромную прибыль. Так, в 2025 году средняя сумма, которую атакующие требовали у жертв в качестве выкупа за восстановление доступа к данным, составила 193 000 долларов», — рассказывает Олег Скулкин, руководитель BI.ZONE Threat Intelligence.
Также исследователи обнаружили новую версию PureRAT с плагином PluginRemoteDesktop, который раньше не использовался в атаках на российские организации. Этот модуль позволяет злоумышленникам полноценно управлять рабочим столом жертвы: передавать изображение экрана, отслеживать активные окна, эмулировать ввод с клавиатуры и мыши, а также отправлять сообщения окнам приложений.
Кроме того, Fluffy Wolf продолжает использовать стилер PureLogs для кражи учетных данных, файлов cookie, истории браузеров и данных из почтовых клиентов. Аналитики заметили, что теперь малварь отправляет разные типы украденной информации на отдельные URL-адреса. Предположительно, это упрощает обработку данных на стороне операторов.
В одном из изученных инцидентов атакующие также развернули в системе жертвы шифровальщик Pay2Key, основанный на вымогателе Mimic. Вредонос шифровал файлы, добавляя к ним расширение .ywgulm_p2k, а затем сохранял записку с требованием выкупа сразу на трех языках: русском, английском и испанском.
По данным специалистов, именно фишинговые письма остаются главным способом проникновения в инфраструктуру компаний. В прошлом году с них начинались 64% целевых атак, тогда как в 2024 году этот показатель составлял 57%.
