Российские компании столкнулись с новой серией атак кластера Fluffy Wolf. Специалисты BI.ZONE Threat Intelligence зафиксировали кампанию с марта по май 2026 года. Целями стали организации из строительства, консалтинга, обрабатывающей промышленности, инжиниринга, розничной торговли и электронной коммерции.
Сотруднику приходит письмо якобы от партнера или подрядчика. В тексте — требование погасить задолженность, финансовая претензия, реквизиты для оплаты или просьба ознакомиться с документами. Вложение выглядит как архив с деловыми файлами. В другом варианте письма есть ссылка на GitHub-репозиторий, откуда жертве предлагают скачать RAR-архив.
Расчет простой: финансовые документы открывают быстрее, чем странные вложения без контекста. Если письмо похоже на обычный спор по оплате, сотрудник бухгалтерии, юрист, менеджер проекта или закупщик может перейти по ссылке, скачать архив и запустить файл. На этом этапе атака уже уходит из почтового ящика в рабочую станцию.
Внутри архивов находились загрузчики и дроперы. Их задача — доставить на устройство основной набор вредоносных инструментов: стилер PureLogs, троян удалённого доступа PureRAT и шифровальщик Pay2Key. Стилер крадёт данные, RAT предоставляет удаленный контроль над системой, шифровальщик может использоваться на финальном этапе для вымогательства.
Fluffy Wolf не делает ставку на сложную собственную разработку. Исследователи описывают ее как кластер, активно использующий готовые инструменты с теневого рынка. Это модель «малварь как сервис»: злоумышленнику не нужно писать вредонос с нуля, достаточно купить подписку, настроить доставку и найти подходящую приманку.
Цены на такой арсенал выглядят почти как обычный софт по подписке. Годовая подписка на PureCrypter оценивается примерно в 449 долларов, PureLogs — в 1250 долларов, PureRAT — в 1499 долларов. В новой кампании появился PowerLoader — загрузчик примерно за 120 долларов. Общая стоимость набора может укладываться в несколько тысяч долларов, а потенциальный ущерб для жертвы — быть на порядки выше.
PowerLoader — это загрузчик на C++, который запускает PowerShell в скрытом режиме, получает команды с управляющего сервера и скачивает следующий компонент атаки. Дальше в цепочке появляется PureCrypter, который разворачивает финальную полезную нагрузку.
Использование GitHub в фишинге — отдельный сигнал для служб безопасности. Ссылка на известную площадку вызывает меньше подозрений у пользователя и иногда проходит там, где ссылка на свежий неизвестный домен была бы заблокирована. Для атакующего это удобный способ обойти часть почтовых фильтров и сетевых проверок, а для компании — напоминание, что легитимный домен не равен безопасному содержимому.
PureRAT в новой кампании получил плагин PluginRemoteDesktop. Такой модуль позволяет управлять рабочим столом жертвы: получать изображение экрана, отслеживать активные окна, эмулировать ввод с клавиатуры и мыши, отправлять сообщения окнам приложений.
Pay2Key добавляет к этой цепочке риск вымогательства. После разведки и сбора информации злоумышленники могут зашифровать файлы, остановить работу отдела или всей компании, а затем потребовать деньги за восстановление доступа к данным.
Fluffy Wolf известна не первый год. BI.ZONE ранее связывала активность кластера минимум с 2022 годом и писала о не менее чем 140 атаках на российские организации. Старые кампании строились вокруг похожей логики: письма с деловыми приманками, архивы под паролем, исполняемые файлы под видом актов сверки, легитимные инструменты удаленного доступа, стилеры, RAT и майнеры.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
