Шпионы Vortex Werewolf мимикрируют под Telegram

Их основная мишень — предприятия ОПК и органы государственного управления

26 января 2026 г.

В декабре 2025 года — январе 2026‑го специалисты BI.ZONE Threat Intelligence зафиксировали серию атак группировки Vortex Werewolf, нацеленных на оборонно‑промышленные предприятия (ОПК) и органы государственного управления. Атаки начинались с очень правдоподобного фишинга: жертве предлагали скачать «важные рабочие документы» по ссылке, выглядевшей как файловое хранилище Telegram. На самом деле переход по ссылке позволял злоумышленникам установить на Windows‑устройство пользователя вредоносное ПО, а также перехватить доступ к его телеграм‑аккаунту.

Ряд признаков указывают на то, что фишинговую ссылку злоумышленники отправляли пользователю напрямую в Telegram, но могли также использовать электронную почту.

Если пользователь переходил по ссылке, запускался процесс восстановления доступа к его телеграм‑аккаунту. Жертву просили ввести код, полученный на другом устройстве, а если учетная запись была защищена двухфакторной аутентификацией, то еще и облачный пароль, якобы для того, чтобы документ мог отобразиться полностью. На самом деле таким образом атакующие получали доступ к активной сессии Telegram, ко всем перепискам и контактам пользователя.

Компрометация телеграм‑аккаунтов может быть интересна злоумышленникам сразу по нескольким причинам. Полученные контакты можно использовать для дальнейшей рассылки фишинговых ссылок, причем делать это с угнанного аккаунта, чтобы сообщения выглядели достоверно и не вызывали подозрений. Кроме того, многие пользователи до сих пор хранят в «Избранном» фото и сканы документов, ссылки на рабочие ресурсы, нередко даже логины и пароли — словом, важную информацию, которая должна быть под рукой. К сожалению, этим активно пользуются атакующие, для которых такие сведения представляют большую ценность.

Олег Скулкин

Руководитель BI.ZONE Threat Intelligence

Однако одним угоном аккаунта преступники не ограничивались. После того как пользователь вводил необходимые коды и пароли, на его устройство загружался ZIP‑архив. Внутри находился вредоносный файл, замаскированный под PDF‑документ, а также скрытый каталог с еще одним архивом, который содержал множество файлов. Открывая «документ», пользователь запускал вредоносный скрипт, который в конечном счете предоставлял злоумышленникам удаленный доступ к системе. Чтобы управлять устройством скрытно, злоумышленники устанавливали на него OpenSSH и Tor. OpenSSH — легитимный инструмент для безопасного удаленного подключения, но злоумышленники использовали его для связи со своим командным сервером. Чтобы скрыть это соединение, атакующие перенаправляли весь трафик через Tor.

Основная цель группировки Vortex Werewolf — шпионаж. Кластер активен как минимум с декабря 2024 года. Незадолго до зимней серии атак на Россию исследователи Cyble и Secrite выявили похожую кампанию этой группировки, нацеленную на белорусские предприятия ОПК и государственные организации.

Ранее специалисты BI.ZONE Digital Risk Protection зафиксировали значительный рост числа мошеннических доменов, нацеленных на угон аккаунтов Telegram.

Фишинг по‑прежнему занимает первое место среди векторов атак. Чтобы обезопасить себя, компании должны систематически обучать сотрудников правилам кибергигиены и проводить регулярные тренинги. Это значительно повысит шансы распознать злоумышленника, в том числе в мессенджерах или социальных сетях. Для защиты электронной почты можно использовать специализированные сервисы, фильтрующие нежелательные письма, например BI.ZONE Mail Security. А выстраивать эффективную киберзащиту и быстро реагировать на киберинциденты помогают данные порталов киберразведки, например BI.ZONE Threat Intelligence, предоставляющие информацию об актуальных киберугрозах.