Кибергруппировка Watch Wolf атаковала российские госструктуры и банки посредством фишинга с DarkWatchman
В марте 2026 года кибергруппировка Watch Wolf разослала более тысячи фишинговых писем сотрудникам финансовых и государственных учреждений России. Злоумышленники использовали троян удаленного доступа DarkWatchman и кейлоггер, применяя приемы социальной инженерии. Вредоносное ПО скрытно закреплялось в системе, подключалось к управляющему серверу и позволяло удаленно контролировать зараженное устройство.
В марте 2026 года была зафиксирована фишинговая активность, в ходе которой злоумышленники разослали более тысячи писем сотрудникам финансовых и государственных учреждений России, сообщили SecPost в компании BI.ZONE. Атакующие применяли вредоносное ПО DarkWatchman — троян удаленного доступа. По данным портала киберразведки BI.ZONE Threat Intelligence, за атаками стоит кибергруппировка Watch Wolf.
Первая волна рассылки была зафиксирована 13 марта. Письма отправлялись со скомпрометированного почтового адреса с темой «Счет на оплату» и вложениями, имитировавшими финансовые документы. Злоумышленники представлялись сотрудниками бухгалтерии логистической компании.
18 марта были заблокированы несколько новых рассылок. В одном из случаев атакующие выдавали себя за специалистов по организации перевозок в промышленном секторе. В письмах с темой «Счет» содержались вложения, замаскированные под финансовые документы. При этом использовался сценарий с уведомлением об истечении срока бесплатного хранения груза и призывом к срочным действиям.
Во всех случаях сценарий атаки, как отмечается в сообщении, строился на приемах социальной инженерии: давлении, срочности и угрозах негативными последствиями. Злоумышленники утверждали, что при отсутствии реакции в тот же день груз будет возвращен.
К письмам прикреплялись самораспаковывающиеся архивы с исполняемыми файлами. При их запуске разворачивалась вредоносная нагрузка, в частности троян DarkWatchman и дополнительный модуль-кейлоггер для скрытого перехвата вводимых пользователем данных, включая логины и пароли.
Вредоносная программа при успешном выполнении скрытно закрепляется в системе, устанавливает соединение с управляющим сервером и ожидает команд, после чего атакующие получают возможность удаленно контролировать зараженный хост и отслеживать активность пользователя.
Как сообщили в BI.ZONE, Watch Wolf — финансово-мотивированная группа, которая компрометирует системы для доступа к онлайн-банкингу и кражи денежных средств. Группа использует фишинговые письма и сайты для распространения ВПО, привлекая жертв через отравление поисковой выдачи. Отмечается связь с группой Buhtrap.
Ранее эксперты BI.ZONE Threat Intelligence фиксировали кампанию Watch Wolf, нацеленную на компрометацию рабочих станций бухгалтеров в российских организациях для вывода денег через онлайн-банкинг с использованием метода SEO poisoning (отравление поисковой выдачи).
В 2025 году количество атакующих Россию профессиональных хакерских группировок выросло на 11% (до 27), при этом семь из них были раскрыты впервые. SecPost и эксперты составили рейтинг пяти самых опасных киберпреступных группировок, среди которых — проукраинские хакеры, политически мотивированные группы и финансово мотивированные злоумышленники, атакующие госучреждения, ВПК и промышленность.
Читайте также
