В первом квартале этого года специалисты департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC TI) обнаружили 808 уникальных образцов вредоносного ПО, которые связаны с деятельностью 11 отслеживаемых хакерских группировок (+38% к цифре за аналогичный период 2025-го).
Четыре наиболее активные группы — RareWerewolf, PhaseShifters, PhantomCore и Hive0117 — суммарно обеспечили около 72% новых зловредов. Динамика же по месяцам показывает резкий рост числа малварей к концу квартала: 117 — в январе, 283 — в феврале и 408 — в марте. Чаще всего злоумышленники атаковали правительственные учреждения (17,86%), финсектор (9,82%), организации гражданского общества (9,82%) и производство (8,04%).
RareWerewolf скрытно разворачивала в системах жертв легитимный инструмент удалённого доступа AnyDesk, а полученный AnyDesk ID жертвы передавала операторам через комментарии на странице GitHubGist. Далее атакующие использовали этот ID для подключения. Отличительной чертой атаки было то, что вспомогательный скрипт автоматически нажимал кнопки в окнах оповещений системы безопасности Windows (в них система запрашивает у пользователя разрешение на запуск или установку потенциально опасного ПО). Из-за автоматических нажатий жертва просто не успевала отклонить запросы и помешать работе зловреда.
PhaseShifters проводила фишинговую кампанию, нацеленную на организации авиационной промышленности и оборонно-промышленного комплекса. В результате атаки на устройство жертвы попадал троян Remcos. Он позволяет злоумышленникам полностью управлять заражённым компьютером, следить за экраном, перехватывать нажатия клавиш и извлекать чувствительные сведения.
PhantomCore рассылала фишинговые письма с вложениями — ярлыками Windows (LNK), которые при открытии запускали вредоносный PowerShell-скрипт.
Hive0117 атаковала бухгалтерские подразделения компаний с помощью трояна удалённого доступа DarkWatchman, который фиксировал нажатия клавиш и отправлял их операторам. Дополнительно малварь удаляла точки восстановления Windows, чтобы лишить жертву возможности «откатить» систему к состоянию до компрометации и удалить ВПО штатными средствами. Для связи с C2-сервером DarkWatchman использовал алгоритм генерации доменов — на случай если основные адреса будут заблокированы.
.png)