Нейросети, липовые заводы и украинский «Офіс». Как PseudoSticky атакует российский бизнес
NewsMakerВ F6 обнаружили новую хакерскую группировку, атакующую российские компании.
Специалисты компании F6 рассказали о новой кибергруппировке, которую назвали PseudoSticky. Поводом для расследования стала атака ноября 2025 года, в ходе которой злоумышленники использовали LLM при проведении атаки и распространяли вредоносное ПО PureCrypter и DarkTrack RAT. При первичном анализе активность напоминала действия известной проукраинской APT-группы Sticky Werewolf, однако более глубокое исследование показало, что речь идёт о сознательной мимикрии.
Sticky Werewolf действует с апреля 2023 года и известна атаками на предприятия России и Беларуси, часто рассылая вредоносные письма от имени государственных структур. В новых кампаниях наблюдались схожие тактики, те же типы приманок и даже прямые отсылки к названию группировки. В одном из случаев строка StickyWerewolf использовалась как пароль к архиву с вредоносной нагрузкой. Тем не менее инфраструктура, особенности кода и отдельные элементы реализации отличались, что позволило аналитикам выделить самостоятельного игрока.
Зимой 2025–2026 годов PseudoSticky атаковала компании из самых разных отраслей: от ритейла и строительства до научно-исследовательских организаций и приборостроительных предприятий. В письмах использовались темы, связанные с военной продукцией, НИОКР и судебными разбирательствами. Злоумышленники компрометировали реальные почтовые ящики на доменах, названия которых созвучны с именами легитимных организаций — включая домен, имитирующий сайт областного суда. В ряде случаев фигурировали полностью вымышленные предприятия с правдоподобными названиями, например ООО «Челябинский завод двигателей для авиации».
Специалисты компании F6 рассказали о новой кибергруппировке, которую назвали PseudoSticky. Поводом для расследования стала атака ноября 2025 года, в ходе которой злоумышленники использовали LLM при проведении атаки и распространяли вредоносное ПО PureCrypter и DarkTrack RAT. При первичном анализе активность напоминала действия известной проукраинской APT-группы Sticky Werewolf, однако более глубокое исследование показало, что речь идёт о сознательной мимикрии.
Sticky Werewolf действует с апреля 2023 года и известна атаками на предприятия России и Беларуси, часто рассылая вредоносные письма от имени государственных структур. В новых кампаниях наблюдались схожие тактики, те же типы приманок и даже прямые отсылки к названию группировки. В одном из случаев строка StickyWerewolf использовалась как пароль к архиву с вредоносной нагрузкой. Тем не менее инфраструктура, особенности кода и отдельные элементы реализации отличались, что позволило аналитикам выделить самостоятельного игрока.
Зимой 2025–2026 годов PseudoSticky атаковала компании из самых разных отраслей: от ритейла и строительства до научно-исследовательских организаций и приборостроительных предприятий. В письмах использовались темы, связанные с военной продукцией, НИОКР и судебными разбирательствами. Злоумышленники компрометировали реальные почтовые ящики на доменах, названия которых созвучны с именами легитимных организаций — включая домен, имитирующий сайт областного суда. В ряде случаев фигурировали полностью вымышленные предприятия с правдоподобными названиями, например ООО «Челябинский завод двигателей для авиации».