Нейросети, липовые заводы и украинский «Офіс». Как PseudoSticky атакует российский бизнес

Специалисты компании F6 рассказали о новой кибергруппировке, которую назвали PseudoSticky. Поводом для расследования стала атака ноября 2025 года, в ходе которой злоумышленники использовали LLM при проведении атаки и распространяли вредоносное ПО PureCrypter и DarkTrack RAT. При первичном анализе активность напоминала действия известной проукраинской APT-группы Sticky Werewolf, однако более глубокое исследование показало, что речь идёт о сознательной мимикрии.

Sticky Werewolf действует с апреля 2023 года и известна атаками на предприятия России и Беларуси, часто рассылая вредоносные письма от имени государственных структур. В новых кампаниях наблюдались схожие тактики, те же типы приманок и даже прямые отсылки к названию группировки. В одном из случаев строка StickyWerewolf использовалась как пароль к архиву с вредоносной нагрузкой. Тем не менее инфраструктура, особенности кода и отдельные элементы реализации отличались, что позволило аналитикам выделить самостоятельного игрока.

Зимой 2025–2026 годов PseudoSticky атаковала компании из самых разных отраслей: от ритейла и строительства до научно-исследовательских организаций и приборостроительных предприятий. В письмах использовались темы, связанные с военной продукцией, НИОКР и судебными разбирательствами. Злоумышленники компрометировали реальные почтовые ящики на доменах, названия которых созвучны с именами легитимных организаций — включая домен, имитирующий сайт областного суда. В ряде случаев фигурировали полностью вымышленные предприятия с правдоподобными названиями, например ООО «Челябинский завод двигателей для авиации».

В декабре аналитики зафиксировали рассылку с предположительно скомпрометированного адреса IT-компании из Владимирской области. Письма содержали архив «Лицензия.PDF.rar», внутри которого находился исполняемый файл, замаскированный под документ. Он классифицирован как DarkTrack RAT. Троян позволяет перехватывать нажатия клавиш, управлять рабочим столом, записывать звук и получать доступ к файлам. В качестве сервера управления использовался домен wwwyandex[.]org, ранее замеченный в ноябрьской кампании.

В январе злоумышленники частично изменили цепочку атаки и перешли на использование Remcos версии 3.8.0 Pro. Для доставки применялся установщик NSIS, а данные о серверах управления размещались через коммиты на Bitbucket. После запуска вредонос создавал скрытого пользователя в системе, отключал Windows Defender, изменял параметры контроля учётных записей и закреплялся в автозагрузке. В конфигурации Remcos процесс маскировался под Telegram. Среди косвенных улик, намекающих на происхождение авторов, — название цветовой схемы «Офіс» в одном из поддельных документов, характерное для украинских региональных настроек операционной системы.

В феврале атаки продолжились. Темы писем включали конструкторскую документацию по беспилотникам и судебные уведомления. Инфраструктура C2 обновилась, однако сама логика заражения осталась прежней. Аналитики отмечают, что несмотря на пересечение по инструментам и стилю, уверенно приписать кампанию Sticky Werewolf нельзя. Ключевое отличие состоит в том, что оригинальная группа использует модифицированную версию DarkTrack RAT, тогда как у PseudoSticky такой модификации не обнаружено.

Эксперты подчёркивают, что мимикрия под известные APT-группы становится распространённой практикой. Использование схожих TTP и знакомых инструментов может запутать расследование и усложнить атрибуцию. В случае PseudoSticky только детальный анализ инфраструктурных связей и технических артефактов позволил отделить новую группировку от уже известного игрока.