Хакеры атаковали российские оборонные компании с помощью AI-обманок и XLL-файлов

Кибератаки на российские оборонные предприятия в последние недели связаны с деятельностью группы Paper Werewolf (GOFFEE), использующей AI-генерированные приманки и вредоносные Excel XLL-файлы. Об этом сообщает Reuters со ссылкой на анализ компании Intezer. В материале отмечается, что атаки были нацелены на организации, работающие над системами ПВО, электроникой и другими оборонными технологиями.

Intezer, как сообщает Reuters, обнаружила поддельный русскоязычный документ, созданные с помощью ИИ — приглашение на концерт для офицеров. Также при атаке использовался второй документ — запрос от Минпромторга РФ по ценовой отчетности. В своем отчете Intezer не упоминает, что он был сделан с помощью ИИ.

Исследователи считают, что такие приманки применялись для распределения вредоносных загрузчиков через XLL-файлы и другие каналы, включая эксплойты для WinRAR.

Продолжение ниже

Intezer в техническом отчете указывает, что через XLL-файлы распространялся DLL-загрузчик с бэкдором EchoGather. Он собирает системные данные, поддерживает удаленное выполнение команд, передачу файлов и взаимодействует с C2-серверами, используя подмену сертификатов и скрытый запуск процессов. Отмечается, что архитектура атаки отличается от более ранних сценариев использования XLL, а группа экспериментирует с новыми техниками доставки.

Злоумышленники задействовали уязвимость WinRAR (CVE-2025-8088) с обходом путей через NTFS ADS: архивы извлекали скрытые файлы в автозагрузку Windows, после чего PowerShell-скрипты скачивали полезную нагрузку и отображали поддельные PDF-документы, связанные с оборонно-промышленной тематикой, подчеркивают в Intezer.

Paper Werewolf активна с 2022 года, напоминает Reuters, и по оценкам Intezer, ориентирована почти исключительно на российские цели. В публикации подчеркивается, что использование генеративного ИИ снижает порог входа для сложных атак, а кампания дает редкий обзор шпионских операций против российских оборонных подрядчиков.