Кибершпионы атакуют сотрудников силовых структур под видом Starlink и приложений для дронов
В феврале 2026 года специалисты выявили кибершпионскую кампанию, в рамках которой вредоносное ПО распространялось под видом сервисов регистрации Starlink и приложений для управления дронами. Обнаружены три автономных кластера: Paper Werewolf, Versatile Werewolf и ранее неизвестный Eagle Werewolf. Атаки нацелены на государственные и промышленные организации, а также на специалистов в области БПЛА.
В феврале 2026 года специалисты BI.ZONE обнаружили кибершпионскую кампанию, в рамках которой вредоносные программы распространялись под видом сервисов для регистрации устройств Starlink, а также приложений для обучения управлению беспилотными летательными аппаратами.
В ходе расследования удалось выявить три кластера злоумышленников: Paper Werewolf (GOFFEE), Versatile Werewolf (HeartlessSoul) и ранее не описанный Eagle Werewolf. Кластеры действовали автономно, без признаков прямой координации.
Paper Werewolf
Кластер Paper Werewolf, как отмечается в исследовании, использовал специально созданный Telegram‑канал для распространения трояна удалённого доступа EchoGather под видом приложения для добавления устройств Starlink в исключения. Вредоносный исполняемый файл Регистрация_Starlink.exe является C#‑дроппером. После запуска демонстрируется отвлекающее окно поддельного приложения, а также извлекается и запускается EchoGather RAT.
Кроме того, через тот же Telegram‑канал распространялась ссылка на фишинговый ресурс, с помощью которого атакующие получали доступ к Telegram‑аккаунту жертвы. В ходе кампании, связанной с БПЛА, кластер использовал ресурс battleflight[.]org для распространения EchoGather под видом установщика симулятора пилотирования.
Versatile Werewolf
Кластер Versatile Werewolf, по данным компании BI.ZONE, распространял вредоносное ПО через ресурс stardebug[.]app. Вредоносный MSI‑установщик извлекал PowerShell‑скрипты, VBS‑сценарий и .NET‑загрузчик. В ходе дальнейшего выполнения происходила загрузка и запуск импланта фреймворка Sliver с использованием техники DLL side‑loading.
В рамках другой кампании кластер использовал ресурс alphafly-drones[.]com, замаскированный под сайт для распространения приложения AlphaFly. В результате загрузки и выполнения скриптов в системе разворачивался обфусцированный троян удалённого доступа на JavaScript, названный SoullessRAT. В предыдущих атаках этот троян обеспечивал загрузку файлов, удалённое выполнение команд, создание снимков экрана и сбор системной информации.
Eagle Werewolf
В феврале 2026 года выявлена активность, связанная с кампанией по регистрации устройств Starlink. После ретроспективного исследования эту активность выделили в отдельный кластер, названный Eagle Werewolf. По имеющимся данным у BI.ZONE, кластер активен как минимум с мая 2023 года и атакует государственные и промышленные организации, а также физических лиц, связанных с производством и инженерией БПЛА.
В феврале 2026 года злоумышленники скомпрометировали тематический Telegram‑канал, через который распространяли ВПО в архиве Чек-лист.zip. Исполняемый файл Чек‑лист.exe является дроппером на языке Rust с графическим интерфейсом на фреймворке Tauri. После прохождения капчи дроппер расшифровывал и запускал Go‑дроппер updater.exe, который, в свою очередь, распаковывал и запускал финальные нагрузки.
В арсенал кластера, как отмечается в материале, входят C#‑дроппер, Rust‑дроппер, Go‑дроппер, инструмент для создания SSH‑туннеля Go2Tunnel и неклассифицированный троян удалённого доступа на языке Rust, получивший название AquilaRAT. AquilaRAT выполняет задачи в формате JSON, включая передачу файлов на C2‑сервер, выполнение команд PowerShell и сканирование файлов с заданными расширениями.
Ранее SecPost писал о связанной с Россией хакерской группе Laundry Bear, которая рассылала украинским пользователям поддельные документы о проверке Starlink, открытие которых через браузер Edge устанавливает бэкдор DrillApp для слежки за данными, камерой и микрофоном.
Читайте также
