Возвращение «оборотней». Группировка Arcane Werewolf устроила масштабную осеннюю охоту на российские заводы.

Специалисты BI.ZONE в октябре и ноябре 2025 года зафиксировали новые атаки кластера Arcane Werewolf (также известного как Mythic Likho) на российские промышленные компании. Группировка продолжает специализироваться на фишинговых рассылках и активно развивает собственные инструменты, в том числе имплант Loki, совместимый с популярными фреймворками постэксплуатации Mythic и Havoc.

Судя по ретроспективным данным, первоначальный доступ злоумышленники по прежнему получают через фишинговые письма со ссылками. Эти сообщения, вероятно, содержали URL для загрузки архива с вредоносным ПО с подконтрольного ресурса, который внешне имитировал сайт российской промышленной компании. Самих писем аналитикам получить не удалось, но восстановленная цепочка атаки показывает типичный сценарий: жертва переходит по ссылке, скачивает ZIP архив и запускает вложенный LNK файл.

В одном из эпизодов октября 2025 года ссылка вела на поддельный "диск" промышленного предприятия. Пользателю предлагался архив с исходящим письмом и папкой "Фото". Внутри находился файл с двойным расширением .pdf.lnk. При его запуске через cmd и PowerShell с удаленного ресурса загружался исполняемый файл Go дроппера, маскирующийся под PNG. Дроппер декодировал две встроенные Base64 нагрузки: вредоносный загрузчик Loki 2.0 и отвлекающий PDF документ с деловым содержимым, который открывался, чтобы не вызвать подозрений у пользователя.

Loki 2.0 собирает базовую информацию о системе: имя компьютера и пользователя, версию операционной системы, внутренний IP адрес. Эти данные шифруются при помощи AES, кодируются в Base64 и отправляются на сервер управления по HTTPS. После этого загрузчик ожидает дальнейшую нагрузку от C2 сервера и по команде запускает ее на скомпрометированном хосте. На момент анализа выгрузить сам имплант Loki в этой кампании не удалось, но его функциональность хорошо описана в предыдущих исследованиях.

В ноябре 2025 года Arcane Werewolf провели еще одну кампанию против предприятий промышленного сектора. В этот раз эксперты обнаружили новый дроппер на C++, который извлекает нагрузку из сжатых ресурсов и сохраняет на диск одновременно отвлекающий PDF документ и обновленный загрузчик Loki версии 2.1. Документ снова имитирует формальную переписку, а вредоносный файл маскируется под системный исполняемый файл и запускается через CreateProcessW. Сетевые ресурсы вновь мимикрируют под домены реальных промышленных компаний.

Loki 2.1 по сути повторяет поведение предыдущей версии: собирает системную информацию, использует AES и Base64, общается с C2 по HTTPS и поддерживает загрузку и выгрузку файлов, выполнение команд, запуск процессов, внедрение кода и работу с токенами доступа Windows. Главное отличие в том, что часть импланта теперь встроена напрямую в загрузчик и расшифровывается локально, а система внутренних команд перешла с хешей djb2 на простые порядковые номера. Это повышает автономность и усложняет анализ артефактов.

Аналитики отмечают, что Arcane Werewolf системно используют доменные имена, созвучные с названиями организаций жертв. Такой прием вместе с узнаваемыми логотипами и элементами фирменного стиля в письмах повышает доверие пользователей и заметно увеличивает шансы на успешное открытие письма и переход по ссылке. При этом реальные компании, под бренды которых маскируются злоумышленники, не имеют отношения к атакам и не несут ответственности за действия преступников.

Киберпреступники по прежнему активно рассылают фишинговые письма от имени крупных компаний, отраслевых холдингов и государственных регуляторов или ссылаются на них в тексте. Чем сильнее и узнаваемее бренд, тем охотнее его айдентика используется в таких атаках. Организациям из промышленного сектора рекомендуют внимательно относиться к письмам с вложенными архивами и ярлыками, проверять домены в ссылках, ограничивать запуск скриптов и PowerShell пользователями и регулярно обучать персонал распознаванию фишинга.