Аналитики департамента киберразведки (Threat Intelligence) компании F6, ведущего разработчика технологий для борьбы с киберпреступностью, изучили вредоносные кампании новой киберпреступной группировки, которая действует против российских организаций из сфер ретейла и строительства, НИИ и приборостроительных предприятий. За сходство с почерком Sticky Werewolf новую группировку назвали PseudoSticky. Злоумышленники использовали в качестве приманок в фишинговых рассылках файлы, в названии которых упоминались индексы продукции военного назначения, а письма отправляли от имени несуществующих предприятий ОПК и областного суда.

Ноябрь 2025 года: первая активность

Первую вредоносную кампанию PseudoSticky специалисты F6 обнаружили в ноябре 2025 года. Архив с названием «Изделие-44 ДСП.rar», который распространяли злоумышленники, содержал признаки использования нейросетей (LLM) при создании вредоносного ПО. Дальнейшее исследование активности группировки показало: речь идёт не просто о нескольких атаках, выполняемых с применением LLM, а о полноценной группировке, которая проводит вредоносные кампании и связывают себя со Sticky Werewolf как посредством техник, тактик, процедур и используемых инструментов, так и прямым упоминанием этой группировки.

Sticky Werewolf (известна также под псевдонимами MimiStick, Angry Likho, PhaseShifters) – одна из наиболее активных проукраинских АРТ-группировок. Действует с апреля 2023 года, атакует предприятия в России и Беларуси. Одна из особенностей Sticky Werewolf – рассылки писем с вредоносным ПО от имени госведомств, например, Минпромторга, Минобрнауки России, Росгвардии. Цели группировки – предприятия в сфере энергетики, промышленности, ОПК, строительства, ЖКХ, транспорта.

В одной из атак киберпреступники даже использовали название Sticky Werewolf в качестве пароля для вредоносного архива. Изучив отличия в инфраструктуре, реализации вредоносного кода и отдельных элементах тактики, аналитики F6

предположили – вероятно, между группировками нет прямой связи, а есть сознательная мимикрия. По этой причине новую группировку назвали PseudoSticky.

Зимой 2025-2026 годов злоумышленники совершили ряд новых атак, постепенно меняя почерк и расширяя спектр целей. Аналитики департамента киберразведки F6 представили результаты исследования этих кампаний в новом блоге.

Декабрь 2025 года: троян под ёлочку

В декабре 2025 года специалисты F6 обнаружили фишинговые рассылки группировки PseudoSticky на компании, действующие в сфере ретейла и строительства.

Письма были направлены с легитимного электронного почтового адреса, принадлежащего IT-компании из Владимирской области, что позволяет сделать вывод о его возможной компрометации. В письме содержалось уведомление о предоставлении организации доступа к платформе контроля и учёта строительного процесса, а вредоносный файл замаскировали под лицензию для указанного софта – «Лицензия.PDF.rar». Этот файл был классифицирован как DarkTrack RAT.

DarkTrack RAT – троян удаленного доступа. Обладает широкими возможностями, включает функции кейлоггера, управления удалённым рабочим столом, потоковой передачи данных веб-камеры, захвата микрофона и записи звука, менеджера файлов и многими другими. Данное вредоносное ПО используют в атаках несколько киберпреступных группировок, включая Sticky Werewolf и PseudoSticky.

Январь 2026 года: пробить диод

В атаках, которые последовали в январе 2026 года сразу после новогодних праздников, злоумышленники заменили вредоносное ПО на Remcos RAT.

Remcos – троян удалённого доступа, известный с 2016 года. Имеет множество функций, включая шпионаж (онлайн и оффлайн кейлоггер, скринлоггер, доступ к данным веб-камеры, Remote Scripting, File Manager). Как правило, заражение жертвы происходит с помощью фишинговых писем, имеющих вложение с вредоносным макросом, который подгружает ВПО.

Remcos RAT используют в атаках более 20 киберпреступных группировок, включая Sticky Werewolf и PseudoSticky.

В этой кампании злоумышленники расширили спектр целей, включив в него научно-исследовательские организации.

Как и ранее, фишинговые письма были направлены с предположительно скомпрометированных электронных почтовых адресов. Один из этих ящиков располагается на домене НИИ, занимающегося в том числе разработкой и выпуском продукции военного и двойного назначения, второй – на домене компании из Челябинской области.

Используемые в кампании фишинговые письма содержали в себе вложения в виде архивного файла «Отчет по НИОКР 1427-18 (шифр АИСТ).PDF.rar», который содержал два файла-приманки: «2026 01 Решение 2Д212.doc» и «Расчёт.xlsx». Шифр «Аист», который упоминается в названии первого файла, согласно открытой информации, относится к проекту речных пограничных катеров.

Один из файлов-приманок, который оформлен как решение по итогам испытаний диодов, содержит недостоверную информацию. Второй стороной в документе обозначено АО «Владимирский государственный радиозавод», информация о котором в открытых источниках отсутствует.

Тот же файл содержит вложенный поток данных, в котором название цветовой схемы стиля в данном потоке данных указано как «Офіс»: это можно оценить как косвенное свидетельство создания или редактирования документа в среде с украинскими региональными настройками.

Также в ходе исследования инфраструктуры злоумышленников специалисты F6 обнаружили еще одно фишинговое письмо с темой «КД к изделию 170», связанное с январской вредоносной кампанией. Под индексом «изделие 170» в открытых источниках обычно упоминается авиационная ракета класса «воздух-воздух».

Февраль 2026 года: беспилотная тревога

В феврале 2026 года злоумышленники из PseudoSticky продолжили атаки, в которых расширили список целей. 12 февраля 2026 года система F6 Managed XDR перехватила и заблокировала фишинговые письма с темами «Конструкторская документация по БЛА (Изделие-54)» и «Извещение о судебном заседании по делу №26/1402-19932295123.14». Эти письма атакующие направили с использованием легитимных электронных почтовых адресов в адрес научно-исследовательской организации и приборостроительных предприятий.

Одно из таких писем отправлено от имени несуществующего ООО «Челябинский завод двигателей для авиации» с почтового ящика, который располагается на домене предприятия по производству дистилляционных аппаратов. Причём в качестве отправителя указан технический директор филиала фейкового предприятия в Петрозаводске, якобы расположенного по адресу: «пр. Победы, 12» – ни проспекта, ни проезда с таким названием в столице Карелии нет.

Второй электронный адрес относится к неофициальному информационному сайту судебной тематики, домен которого отчасти похож на домены официальных органов судебной власти. Письмо с этого адреса было отправлено под видом извещения о проведении судебного заседания 26 февраля 2026 года за подписью «секретаря областного суда».

Аналитики F6 считают, что атакующие целенаправленно использовали скомпрометированные адреса электронной почты, чтобы выдать вредоносные рассылки за письма от конкретных организаций.

«Стремление выдать свои атаки за действия уже известных киберпреступных групп – одна из распространённых практик, которые могут использовать как новые группировки злоумышленников, так и новые подразделения этих группировок. В таких случаях только детальное исследование атак, основанное на сопоставлении технических артефактов, инфраструктурных связей и контекстных факторов, позволяет получить максимально полное представление об атакующем, а также адаптировать механизмы обнаружения и реагирования на его атаки», – считает Владислав Куган, старший аналитик отдела исследования кибератак департамента Threat Intelligence компании F6.