Специалисты BI.ZONE Threat Intelligence фиксируют повышенную активность группировок, ориентированных на шпионаж. Кластер Paper Werewolf атакует российский промышленный, финансовый и транспортный секторы, а также разрабатывает новое вредоносное ПО.
С января по март 2025 года на шпионаж пришлось 38% зафиксированных целевых атак. По данным исследования Threat Zone 2026, за весь 2025 год этот показатель составил 37%. В текущем году он сохраняется на высоком уровне: в первые три месяца доля шпионских кибератак выросла до 42%.
Для таких злоумышленников характерно длительное скрытое присутствие в инфраструктуре. С их деятельностью специалисты BI.ZONE Compromise Assessment связывают более 60% всех выявляемых случаев скрытой компрометации. Примечательно, что кибершпионы часто экспериментируют с инструментами и разрабатывают свое вредоносное ПО, чтобы увеличить шансы на успешную атаку.
Например, с марта по апрель 2026 года специалисты BI.ZONE Threat Intelligence зафиксировали повышенную активность кластера Paper Werewolf. Для атак злоумышленники использовали новые самописные инструменты.
Олег Скулкин, руководитель BI.ZONE Threat Intelligence: «Paper Werewolf активно экспериментирует с цепочками атак, используя фишинговые PDF-документы, установщики и различные загрузчики для доставки вредоносной нагрузки. Кластер обладает высоким уровнем подготовки и технической зрелости: атакующие продолжают разработку собственных имплантов для фреймворка постэксплуатации Mythic. Кроме того, они создали собственный стилер PaperGrabber, который позволяет собирать данные из Telegram, файлы с локальных, сетевых и съемных дисков, а также красть учетные данные из браузеров«.
Одна из фишинговых кампаний была нацелена на промышленные и финансовые организации. Открывая файл, вложенный в письмо, жертвы фактически запускали троян удаленного доступа EchoGather. ВПО позволяло атакующим собирать системную информацию о скомпрометированном устройстве, загружать и отправлять файлы на C2-сервер, а также выполнять команды. Весь процесс атакующие замаскировали под установку Adobe Acrobat Reader.
Летом 2025 года группировка Paper Werewolf использовала для атак уязвимости в WinRAR. К фишинговым письмам прилагались RAR‑архивы якобы с важными документами, а на самом деле — с вредоносным ПО. Злоумышленники воспользовались двумя уязвимостями в WinRAR, которые позволяли при распаковке архива устанавливать ВПО на скомпрометированное устройство незаметно для жертвы. Тогда целями атак стали организации из России и Узбекистана.
Чтобы защитить организацию от кибератак, важно знать, какие методы и инструменты применяют злоумышленники. Подробную информацию об этом предоставляют порталы киберразведки, например BI.ZONE Threat Intelligence. Здесь пользователи могут найти свежие и подробные данные об актуальных угрозах, злоумышленниках, их тактиках, техниках, инструментах и эксплуатируемых уязвимостях.