Дешево и пушисто: группировка Fluffy Wolf атаковала российские компании новым недорогим ВПО

Злоумышленники атаковали российские организации фишинговыми письмами с требованием погасить задолженность. Они использовали недорогие вредоносные инструменты, а также распространяли ссылки на репозитории GitHub

27 мая 2026 г.

C марта по май 2026 года специалисты BI.ZONE Threat Intelligence зафиксировали серию фишинговых атак кластера Fluffy Wolf. Целями злоумышленников стали российские организации из различных отраслей: строительства, консалтинга, обрабатывающей промышленности, инжиниринга, розничной торговли и электронной коммерции.

В фишинговых рассылках кластер выдавал себя за партнеров или подрядчиков компании‑жертвы. Атакующие предлагали погасить финансовую задолженность и ознакомиться с документами, приложенными к письму. Среди них был якобы файл с реквизитами для оплаты, а также файл с претензией и требованием погасить долг.

Выявлено два типа фишинговых писем: с вложением в виде RAR‑архива с ВПО и со ссылкой на GitHub‑репозиторий атакующих, откуда загружался RAR‑архив с ВПО. В архиве находились вредоносные загрузчики и дроперы, предназначенные для доставки в целевую систему стилера PureLogs, трояна удаленного доступа PureRAT и шифровальщика Pay2Key. Стоит отметить, что злоумышленники не разрабатывали ВПО самостоятельно, а покупали инструменты на теневых площадках. Например, цена за годовую подписку на PureCrypter составляет 449 долларов, PureLogs — 1250, PureRAT — 1499.

В новой кампании группировка снизила затраты на реализацию атаки: загрузчик PowerLoader обошелся ей примерно в 120 долларов. Суммарная стоимость всего арсенала ВПО оценивается в несколько тысяч долларов. В случае успешной атаки кластер может получить огромную прибыль. Так, в 2025 году средняя сумма, которую атакующие требовали у жертв в качестве выкупа за восстановление доступа к данным, составила 193 тыс. долларов.

Олег Скулкин

Руководитель BI.ZONE Threat Intelligence

Кластер Fluffy Wolf сохранил привычный набор ВПО, но разнообразил методы доставки. Киберпреступники использовали плагин PluginRemoteDesktop для PureRAT, ранее не встречавшийся в атаках на российские организации. Также злоумышленники приобрели загрузчик PowerLoader, чтобы повысить эффективность проникновения и обхода систем защиты.

Еще одна интересная особенность — использование ссылок на репозитории GitHub в фишинговых письмах. Благодаря тому, что ссылки выглядели легитимно, вероятность перехода жертвы по вредоносному адресу увеличивалась. С их помощью злоумышленники обходили почтовые фильтры и сетевые средства защиты.

По данным исследования Threat Zone 2026, в прошлом году 64% целевых атак начинались именно с фишинговых писем. В 2024 году этот показатель был ниже и составил 57%. Чтобы минимизировать риск подобных атак, рекомендуем использовать решения для защиты почты. Например, BI.ZONE Mail Security проводит многоуровневый анализ письма, включающий выявление нетипичных паттернов в теле сообщения, анализирует ссылки и вложения, а также сопоставляет технические индикаторы с поведением сообщения в почтовом потоке.

Чтобы защитить организацию от кибератак, необходимо использовать комплексный подход. Порталы киберразведки, такие как BI.ZONE Threat Intelligence, предоставляют подробные данные об актуальных угрозах, злоумышленниках, их тактиках, техниках, инструментах и эксплуатируемых уязвимостях.