Эксперты отдела киберразведки (Threat Intelligence) компании F6, создающей решения для противодействия цифровой преступности, исследовали вредоносные операции новой хакерской группы, нацеленной на российские компании из розничной торговли и строительной отрасли, а также научно-исследовательские и приборостроительные организации. Из-за схожести методов с группировкой Sticky Werewolf новую назвали PseudoSticky. В фишинговых письмах злоумышленники использовали файлы, в именах которых фигурировали артикулы военной продукции, а рассылка велась от имени вымышленных предприятий оборонно-промышленного комплекса и регионального суда. Об этом CNews сообщили в F6.
Ноябрь 2025 года: начало активности
Первая вредоносная кампания PseudoSticky была зафиксирована специалистами F6 в ноябре 2025 года. Распространяемый злоумышленниками архив «Изделие-44 ДСП.rar» содержал признаки применения языковых моделей (LLM) при разработке вредоносного кода. Последующий анализ активности показал, что это не разрозненные атаки с использованием LLM, а организованная группировка, ведущая целенаправленные кампании. Она ассоциирует себя со Sticky Werewolf как через общие тактики, методы, процедуры и инструменты, так и через прямое упоминание этого названия.
Sticky Werewolf (также известная как MimiStick, Angry Likho, PhaseShifters) – одна из самых активных проукраинских хактивистских группировок. Она действует с апреля 2023 года, атакуя организации в России и Беларуси. Одна из характерных черт Sticky Werewolf – рассылка писем с вредоносными вложениями от имени государственных органов, таких как Минпромторг, Минобрнауки России или Росгвардия. Её цели – предприятия энергетики, промышленности, ОПК, строительства, ЖКХ и транспорта.
В одной из атак киберпреступники даже использовали название Sticky Werewolf в качестве пароля к вредоносному архиву. Изучив различия в инфраструктуре, реализации вредоносного кода и отдельных элементах тактики, аналитики F6 пришли к выводу, что прямой связи между группировками, вероятно, нет, а наблюдается намеренное подражание. Поэтому новую группировку и назвали PseudoSticky.
В зимний период 2025-2026 годов злоумышленники провели серию новых атак, постепенно меняя подходы и расширяя круг целей. Результаты исследования этих кампаний эксперты киберразведки F6 опубликовали в новом блоге.
Декабрь 2025 года: праздничная угроза
В декабре 2025 года специалисты F6 выявили фишинговые рассылки группировки PseudoSticky, нацеленные на компании в сфере розничной торговли и строительства.
Сообщения отправлялись с официального email-адреса, зарегистрированного на IT-фирму из Владимирской области, что указывает на вероятный взлом этого аккаунта. В тексте письма значилось уведомление о предоставлении доступа к системе мониторинга и управления строительными работами, а опасный файл был завуалирован под лицензионный ключ для данного программного обеспечения — «Лицензия.PDF.rar». Данный файл был идентифицирован как троянец DarkTrack RAT.
DarkTrack RAT представляет собой вредоносную программу для удалённого администрирования. Она обладает обширным функционалом, в который входят возможности кейлоггинга, управления удалённым рабочим столом, трансляции с веб-камеры, захвата аудио с микрофона, файлового менеджера и другие. Этот зловред используется в своих операциях несколькими хакерскими группировками, такими как Sticky Werewolf и PseudoSticky.
Январь 2026 года: испытание диода
В атаках, развёрнутых в январе 2026 года сразу после новогодних каникул, злоумышленники сменили вредоносное ПО на троянец Remcos RAT.
Remcos — это программа для удалённого доступа, известная с 2016 года. Её возможности включают шпионские функции (кейлоггинг в реальном времени и офлайн, создание скриншотов, доступ к веб-камере, выполнение удалённых скриптов, управление файлами). Как правило, заражение жертв происходит через фишинговые рассылки с вредоносными макросами во вложениях, которые затем загружают опасное ПО. Remcos RAT применяется в атаках более чем 20 киберпреступными группами, включая Sticky Werewolf и PseudoSticky.
В рамках этой кампании злоумышленники расширили список целей, добавив в него учреждения научно-исследовательского профиля.
Как и в прошлый раз, фишинговые письма рассылались с предположительно взломанных почтовых ящиков. Один из таких адресов был зарегистрирован на домене научно-исследовательского института, который, среди прочего, занимается созданием продукции военного и двойного назначения, второй — на домене компании из Челябинской области.
Вложениями в письмах этой кампании выступали архивные файлы с именем «Отчет по НИОКР 1427-18 (шифр АИСТ).PDF.rar», внутри которых находились две файловые приманки: «2026 01 Решение 2Д212.doc» и «Расчет.xlsx». Шифр «Аист», упомянутый в названии первого документа, согласно открытым данным, относится к проекту по созданию речных пограничных катеров.
Один из файлов-приманок, оформленный как итоговое решение по испытаниям диодов, содержит ложные сведения. В документе в качестве второй стороны указано АО «Владимирский государственный радиозавод», информация о котором в публичном доступе отсутствует.
Тот же файл включает встроенный поток данных, где в названии цветовой схемы стиля указано слово «Офіс»: это можно рассматривать как косвенный признак того, что документ создавался или редактировался в среде с украинскими языковыми настройками.
В процессе изучения инфраструктуры злоумышленников эксперты F6 выявили дополнительное фишинговое сообщение под заголовком «КД к изделию 170», относящееся к вредоносной активности в январе. В открытых данных под обозначением «изделие 170» обычно подразумевается авиационная ракета типа «воздух-воздух».
Февраль 2026 года: тревога, связанная с беспилотниками
В феврале 2026 года группа PseudoSticky продолжила свои операции, расширив перечень объектов для атак.
12 февраля 2026 года платформа F6 Managed XDR обнаружила и предотвратила рассылку фишинговых писем с темами «Конструкторская документация по БПЛА «Италмас» (Изделие-54)» и «Уведомление о судебном заседании по делу №26/1402-19932295123.14». Эти сообщения злоумышленники разослали, используя легитимные электронные адреса, в адрес научно-исследовательского института и предприятий приборостроительной отрасли.
Одно из писем было отправлено от имени несуществующего ООО «Челябинский завод авиационных двигателей» с почтового ящика, зарегистрированного на домене компании, производящей дистилляционное оборудование. В качестве отправителя указан технический директор филиала этой фиктивной организации в Петрозаводске, предположительно расположенного по адресу: «пр. Победы, 12» – однако в столице Карелии не существует ни проспекта, ни проезда с таким названием.
Второй адрес электронной почты принадлежал неофициальному информационному порталу на судебную тематику, доменное имя которого частично совпадало с доменами официальных судебных инстанций. Письмо с этого адреса было оформлено как уведомление о проведении судебного заседания 26 февраля 2026 года и подписано «секретарём областного суда».
Специалисты F6 полагают, что атакующие намеренно использовали скомпрометированные почтовые адреса, чтобы придать вредоносной рассылке видимость переписки от конкретных учреждений.
«Стремление замаскировать свои атаки под деятельность уже известных киберпреступных группировок – распространённая тактика, которую могут применять как новые объединения злоумышленников, так и новые подразделения внутри существующих групп. В подобных ситуациях только тщательный анализ атак, основанный на сопоставлении технических артефактов, связей в инфраструктуре и контекстных факторов, позволяет составить наиболее полную картину о нападающей стороне, а также адаптировать механизмы обнаружения и противодействия её активностям», – отмечает Владислав Куган, старший аналитик отдела исследования кибератак департамента Threat Intelligence компании F6.
