Новая группа SiribClone атакует российских военных
В феврале 2026 года в ходе мониторинга угроз специалистами F6 был обнаружен вредоносный файл, загружаемый с Google диска. При открытии данный файл показывал документ-приманку на военную тематику, собирал данные и отправлял их с помощью rclone на сервер злоумышленника.
Новая группа SiribClone атакует российских военных
SiribClone - группировка, обнаруженная в феврале 2026 года и активная минимум с июля 2025 года. Группировка нацелена на десктопные и мобильные устройства. Для атак на десктопные устройства SiribClone используют собственно разработанное ВПО SiribGrabber, а для мобильных устройств - SafeLoveStealer.
"Коллаборация" BO Team и Роскомнадзора
Анализ бэкдора BrockenDoor
Copy Fail в Sandbox Linux
Обнаружение эксплойта Copy Fail в песочнице Linux
Все новое – это позабытое старое
Специалисты F6 Threat Intelligence продолжают отслеживать рассылки против бухгалтеров, проводимые группой Hive0117
Ждите гостей
Новые инструменты и тактики PhantomCore в атаках на российские компании
Не1апрельская шутка.
Unicorn обновилась в преддверии дня дурака смеха
Письмо на миллион
Группа Hive0117 взламывает компьютеры бухгалтеров и похищает деньги под видом зарплаты
Липкий след
Атака группировки PseudoSticky с использованием RemcosRat
Иллюзия разбоя
F6 проанализировала активность «Команды Legion» и её связь с кибергруппой NyashTeam
Шпионы не дремлют
Рассылка загрузчика XDSpy.DSDownloader группой XDSpy
Беспокойный дух
Шпионы PhantomCore провели новые атаки на российские компании
Аналитики F6 проанализировали кампании GOFFEE в 2025 года
Применение ВПО WarpRAT и эксплуатация уязвимости CVE‑2025‑8088 при атаках на государственные структуры и финансовые организации
Майнер в поде
Злоумышленики используют уязвимость в Kafka для установки майнеров.
Анализ в Linux песочнице майнера
Buhtrap снова в деле
F6 выявила новую активность по распространению ВПО через сайты-приманки для бухгалтеров и юристов
Подчерк LLM
Аналитики F6 изучили атаку с использование PureCrypter и DarkTrack RAT
Hupigon
DarkComet
Darktrack
Ozone RAT
Неугомонный VasyGrek
F6 изучила атаки злоумышленника в августе-ноябре 2025 года
F6 зафиксировала вредоносные рассылки кибергруппы CapFIX
Аналитики Центра кибербезопасности и Threat Intelligence компании F6 обнаружили новую кампанию вредоносных рассылок.
Sticky Werewolf вернулся с новым трояном
Разбор нового инструмента PulsarRAT в песочнице
Рассылка группы Unicorn
Группа Unicorn дополняет свой самописный стилер возможностями трояна удаленного доступа.
Новая активность трояна DarkWatchman RAT
Аналитики Центра кибербезопасности F6 обнаружили новую волну вредоносных рассылок от группы Hive0117.
ComicForm, начало: аналитики F6 изучили фишинговые кампании нового атакующего
Папа не смог: эксперты F6 исследовали вредоносные рассылки с новым Phantom
Анализ письма с Buhtrap от сервиса ЭДО
Фишинговая рассылка c Pay2Key Ransomware
PhantomCore проводит рассылки с использованием нового бэкдора PhantomCore.PollDL
Вымогатели подали претензию: F6 обнаружила новые атаки группы Werewolves
Cobalt Strike
Metasploit
Cobalt
Майнеры на книжной полке: ЦК F6 зафиксировал распространение вредоносных программ через бесплатные онлайн-библиотеки
Работа Mirai вредоноса в Linux
Работа DinodasRAT в Linux sandbox F6
Работа Babuk в песочнице F6
Работа шифровальщика Lockbit в песочнице F6
Отпечатки прошлого: F6 исследовала новые и ранее неизвестные активности группы PhantomCore
Sticky Werewolf рассылает Quasar RAT от лица Минобрнауки России
Unicorn: таргетированная e-mail-кампания против ритейла, промышленности, строительства и ЖКХ
Согласовать, открыть, заразиться: кейс фишинга от Room155
Возвращение StrongBaba: майская кампания с ChuBaka Downloader в защищённых архивах
Работа очень быстрого вайпера в IT инфраструктуре
Вредоносная активность группы Core Werewolf с использованием UltraVNC
Unicorn и их резюме инженера как приманка для загрузки ВПО
Новая вредоносная рассылка от Hive0117: архив с паролем и надежда добраться до пользователя
Операция Sticky Werewolf: Шпионская атака Quasar RAT от Минпромторга
Экзотический апрельский отчет из Азии: Разоблачение неизвестного
Выявление Zeppelin: Обнаружение шифровальщика в песочнице
Злоумышленник Rezet и его договор-оферта по услугам интернет-продвижения
Вредоносные схемы Hive0117: судебные приставы как канал для DarkWatchman
Злоумышленники в химической промышленности: изучение атаки ВПО WhiteSnake
Расследование цепочки заражения Unicorn: от EML до стилеров
Атака Havoc: Почтовые угрозы от имени управления контроля размещения государственного заказа
Злоумышленники room155 хотят сверку взаиморасчето и отправляют Revenge-RAT в качестве вложения
Vasy Grek: Массовая фишинговая кампания с подменой выгрузок 1С
Распространение CloudEye через скомпрометированные почтовые аккаунты
PureLogs: Фишинговая кампания с использованием PureCrypter
Претензии с подвохом: Werewolves и их Cobalt кампания
Cobalt Strike
Metasploit
Meterpreter
Cobalt
Операция "Ложный Минпропторг": анализ вредоносной кампании Sticky Werewolf
META stealer в действии: как скомпрометированные учётные записи электронной почты используются для распространения вредоносного ПО
Новая APT Telemancon атакует промышленные предприятия с помощью инструментов TMCDropper и TMCShell
Анализ атак вредоносного ПО Watch Wolf на сектор ритейла
DarkWatchman
RedLine Stealer
Hive0117
Анализ рассылки вредоносного ПО QuasarRat
Атака на доверие: xplogs22 превращает почтовые серверы в оружие массового заражения
Массовая рассылка стилера NOVA со взломанных учетных записей
VasyaGrek держит компании в напряжении, рассылая вредоносные письма с новыми IOC
Группа TA558 снова атаковала российские и белорусские компании
Атака группировки Rezet на Российские предприятия
Атака группировки Rezet на Российские предприятия
Замаскированная угроза: как Stone Wolf использует счета для обмана
Российские компании становятся целями обновленного стилера NOVA
PDF-приманка: как Rezet ведет кампании против российских компаний
Новая группировка DarkGaboon использует Revenge RAT для атак на российские компании.
Крепкая финансовая связь: эксперты F.A.C.C.T. вскрыли киберпреступников VasyGrek и Mr.Burns
Билет, которого нет: специалисты F.A.C.C.T. обнаружили новую угрозу – FakeTicketer
Украинские кибершпионы от лица Минпромторга пытались атаковать российские предприятия. Приманка — работа с осужденными.
Злоумышленники атакуют государственные и финансовые организации на территории России с помощью Rhadamanthys Stealer
Рассылка ВПО Revenge RAT в письмах российским компаниям. Тема письма: "Уточнение по акту сверки взаиморасчетов"
Рассылка вредоносных писем Watch Wolf от имени курьерской службы с использованием DarkWatchman
Анализ ВПО, используемого группой PhantomCore
Анализ трояна Buhtrap RAT
Анализ ВПО, использующего ресурсы зараженной машины для майнинга криптовалюты
Анализ JavaScript бэкдора, используемого для удаленного исполнения команд
Анализ шпионского ПО AgentTesla, предназначенного для похищения пользовательских данных
Анализ ВПО Formbook, которое предназначено для кражи данных пользователя, а так же может быть использовано для удаленного исполнения команд
Анализ вируса Neshta, заражающего исполняемые файлы и имеющего функционал похищения пользовательских данных
Анализ вредоносного офисного документа, который загружает из сети и запускает средство удаленного администрирования Remcos