![APT28 атаковала UKR[.]NET: фишинг, PDF и прокси ngrok](https://www.anti-malware.ru/files/styles/imagesize266w200h/public/images/source/fancy_bear-news.png?itok=l8qWG_nF×tamp=1766255143)
Специалисты BI.ZONE Threat Intelligence рассказали о серии целевых атак группировки Vortex Werewolf, зафиксированных в декабре 2025 — январе 2026 года. Под удар попали оборонно-промышленные предприятия и органы государственного управления. И начиналось всё максимально буднично — с сообщения в Telegram и «важных рабочих документов».
Атакующие рассылали жертвам ссылки, которые выглядели как обычное файловое хранилище Telegram.
Формулировки были правдоподобными: срочно, по работе, нужно ознакомиться. Но за внешне безобидной ссылкой скрывался многоходовый сценарий — с угоном телеграм-аккаунта и установкой зловреда на Windows-устройство.
По данным исследователей, чаще всего ссылку отправляли напрямую в Telegram, хотя не исключено, что в ряде случаев использовалась и электронная почта. После перехода по ссылке пользователь попадал на поддельный процесс «восстановления доступа» к аккаунту.
Его просили ввести код, полученный на другом устройстве, а при включённой двухфакторной аутентификации — ещё и облачный пароль. Всё это якобы было нужно, чтобы документ «открылся полностью».
На самом деле таким образом злоумышленники получали полный доступ к активной сессии Telegram: перепискам, контактам и сохранённым данным. Как поясняет руководитель BI.ZONE Threat Intelligence Олег Скулкин, угон аккаунтов даёт атакующим сразу несколько преимуществ.
Во-первых, контакты жертвы можно использовать для дальнейшего фишинга — причём уже от имени реального человека, что резко повышает доверие. Во-вторых, многие пользователи хранят в «Избранном» документы, ссылки на рабочие ресурсы и даже логины с паролями. Для шпионской группировки это настоящая находка.
Но на этом атака не заканчивалась. После ввода кодов на устройство жертвы загружался ZIP-архив. Внутри — файл, замаскированный под PDF-документ, и скрытая папка с ещё одним архивом, набитым служебными файлами. Открывая «документ», пользователь запускал вредоносный скрипт, который в итоге предоставлял атакующим удалённый доступ к системе.
Для скрытого управления заражённым устройством злоумышленники устанавливали OpenSSH и Tor. Первый — легитимный инструмент для безопасного удалённого подключения — использовался для связи с командным сервером, а весь трафик прогонялся через Tor, чтобы замаскировать соединение.
Основная цель Vortex Werewolf — шпионаж. Группировка активна как минимум с декабря 2024 года. Незадолго до атак на российские организации аналитики Cyble и Secrite обнаружили похожую кампанию, нацеленную на предприятия ОПК и госструктуры в Беларуси.
На этом фоне эксперты BI.ZONE отмечают и более широкий тренд: ранее специалисты BI.ZONE Digital Risk Protection зафиксировали резкий рост числа мошеннических доменов, созданных специально для угона аккаунтов Telegram. Фишинг по-прежнему остаётся главным вектором атак — и всё чаще он переезжает в мессенджеры.
