Группировка Vortex Werewolf атакует ОПК через фишинг под Telegram
Специалисты BI.ZONE Threat Intelligence зафиксировали в декабре 2025 — январе 2026 годов серию атак группировки Vortex Werewolf. Целью атак стали предприятия оборонно-промышленного комплекса и органы государственного управления.
По данным BI.ZONE, атаки начинались с фишинга, при котором жертве предлагали скачать документы по ссылке, имитирующей файловое хранилище Telegram. Переход по ней запускал процесс восстановления доступа к аккаунту Telegram пользователя. Компании, под предлогом отображения документа жертву просили ввести код подтверждения и, при наличии, облачный пароль, что позволяло злоумышленникам перехватить активную сессию, переписки и контакты.
После компрометации аккаунта на устройство жертвы загружался ZIP-архив. Внутри находился вредоносный файл, маскирующийся под PDF-документ. Его открытие приводило к выполнению скрипта, который в конечном итоге предоставлял удаленный доступ к системе. Для скрытного управления злоумышленники устанавливали на скомпрометированные устройства OpenSSH и перенаправляли трафик через сеть Tor.
Основной целью группировки, по данным компании, является шпионаж. Кластер активен как минимум с декабря 2024 года. Ранее аналогичные кампании Vortex Werewolf, нацеленные на белорусские организации, выявляли исследователи Cyble и Seqrite.
Также в BI.ZONE отметили, что ранее их специалисты фиксировали значительный рост числа мошеннических доменов для угона аккаунтов Telegram.
Читайте также
