«Пушистый волк» и акты сверки. Как старый хакер VasyGrek кошмарит российских бухгалтеров в 2025 году

Аналитики F6 зафиксировали новую волну атак злоумышленника под ником VasyGrek, также известного как Fluffy Wolf. В августе ноябре 2025 года он продолжил массовые фишинговые кампании против российских компаний, параллельно обновляя свои инструменты и цепочки заражения, но сохраняя привычную бухгалтерскую тематику писем.

По данным F6, VasyGrek действует как минимум с 2016 года и нацелен на доступ к конфиденциальным данным российских организаций для их дальнейшего использования. Для атак он традиционно использует письма с темами про акты сверки, неоплаченные счета и платежные поручения, а также домены, имитирующие сайты финансовых организаций и бухгалтерских сервисов.

Ранее злоумышленник полагался на модифицированные клиенты удаленного доступа RMS и TeamViewer семейства BurnsRAT, разработанные другим участником форумов под псевдонимом Mr.Burns, а также на стилеры RedLine и META, троян AveMaria и линейку инструментов PureCoder. После публикации в июле 2024 года исследования F6 о его сотрудничестве с Mr.Burns использование BurnsRAT прекратилось, но сами сценарии атак до осени 2025 года почти не менялись.

Основой этих сценариев оставался PureCrypter. Жертве отправляли письмо с вложением в виде архива либо ссылкой на файл, размещенный на GitHub или на домене, зарегистрированном VasyGrek. Архив обычно содержал исполняемый файл PureCrypter. Этот загрузчик умел доставлять на систему следующие стадии атаки и внедрять полезные нагрузки в выбранные процессы, как из внешних ресурсов, так и из локально зашифрованных блоков.

Чаще всего PureCrypter загружал инструменты PureHVNC и PureLogs Stealer, также относящиеся к экосистеме PureCoder. PureHVNC предоставлял злоумышленнику удаленный доступ и сбор телеметрии, а PureLogs отвечал за кражу данных браузеров, криптокошельков, почтовых и FTP клиентов, VPN и других приложений. В ряде случаев в цепочку добавлялся и шифровальщик Pay2Key, распространяемый по модели RaaS и основанный на коде известного вымогателя Mimic.

С августа по ноябрь 2025 года под прицел VasyGrek попадали компании из самых разных отраслей, включая промышленность, строительство, энергетику, сельское хозяйство, безопасность, торговлю, финансы, ИТ, медиа и развлечения. В качестве отправителей фигурировали адреса на доменах верхнего уровня ru и su, что создавало впечатление переписки с реальными российскими организациями. Темы писем практически всегда были завязаны на акты сверки, задолженность и срочную оплату.

Отдельное внимание F6 уделила инфраструктуре доменов злоумышленника. Он использовал и продолжает регистрировать ресурсы вроде jump finance, docbuh и buhgalteriya1c с различными доменными зонами. На части таких сайтов размещались страницы, маскирующиеся под бухгалтерские услуги и сервисы для работы с платежами. Аналитики смогли выделить характерные паттерны регистрации и на их основе построить правила, которые позволяют обнаруживать новые домены VasyGrek еще до того, как они начнут использоваться в атаках.

Почти год в качестве сервера управления злоумышленник применял IP адрес 195.26.227.209 с набором рабочих портов. В конце октября 2025 года F6 зафиксировала переход на новый адрес 195.26.225.113, который теперь используется как C2 для обновленных версий PureHVNC.

В одном из проанализированных образцов PureCrypter доставлял сразу несколько нагрузок PureHVNC, PureLogs Stealer и шифровальщик Pay2Key, внедряя их в процессы на машине жертвы. F6 опубликовала результат динамического анализа этого случая на собственной платформе детонации вредоносных файлов.

Более заметные изменения в тактике VasyGrek эксперты зафиксировали в ноябре. Вместо архивов с exe файлами во вложениях начали приходить архивы с BAT и VBS скриптами. В цепочке от 13 ноября 2025 года письмо содержало файл akt_sverki_PDF.vbs, запуск которого инициировал новую схему заражения.

Этот скрипт загружал изображение с облачного хранилища и скрытый внутри него фрагмент данных, заключенный между метками BASE64_START и BASE64_END. Далее скрипт обрабатывал и декодировал содержимое до формата .NET сборки, загружал ее в память текущего процесса и создавал механизм автозапуска через ветку RunOnce в реестре, копируя свой VBS файл в каталог ProgramData под иным именем.

Следующим шагом была загрузка дополнительной нагрузки с домена 1c buh akt ru и ее расшифровка. Полученная .NET сборка внедрялась в процесс легитимной утилиты RegAsm.exe из пакета .NET. По данным F6, внутри этого процесса запускался клиент PureHVNC с заданной конфигурацией, в которой были прописаны IP адрес сервера управления, набор портов, имя мьютекса и SSL сертификат для шифрования трафика.

Использованный в этой атаке загрузчик F6 классифицирует как powershell stego downloader. Ранее он неоднократно встречался в арсенале другой группы Sticky Werewolf, которая с его помощью доставляла Ozone RAT и Darktrack и также инжектировала их в RegAsm.exe. В данном случае атрибуция проведена в пользу VasyGrek на основании оформления фишингового письма, привязки нагрузки к его доменам и характерного использования PureHVNC.

В F6 отмечают, что VasyGrek остается примером устойчивой многолетней угрозы. Его кампании носят массовый характер и направлены на широкий круг российских организаций, а набор инструментов регулярно обновляется. Компании призывают учитывать опубликованные индикаторы компрометации, уделять внимание фишинговым рассылкам на бухгалтерскую тематику, обучать сотрудников основам кибергигиены и использовать современные средства для выявления и блокировки подобных атак.