F6: новая хак-группа PseudoSticky атаковала НИИ и приборостроительные предприятия РФ

Новая киберпреступная группировка PseudoSticky, атаковала российские организации из сфер ретейла, строительства, научно-исследовательских институтов (НИИ) и приборостроения. Злоумышленники рассылают фишинговые письма с файлами, в названиях которых используются индексы продукции военного назначения, а сами сообщения отправляются от имени несуществующих предприятий ОПК и областного суда. Об этом "Газете.Ru" сообщили в пресс-службе компании F6, аналитики которой и разоблачили хакеров.

Первая активность группировки зафиксирована в ноябре 2025 года. Тогда распространялся архив "Изделие-44 ДСП.rar", при создании которого могли использоваться нейросетевые инструменты. Анализ показал сходство методов, инструментов и процедур с группировкой Sticky Werewolf, однако различия в инфраструктуре и коде указывают на вероятную имитацию, из-за чего новая группа получила название PseudoSticky.

В декабре 2025 года злоумышленники атаковали компании из сфер ретейла и строительства через письма с легитимного адреса ИТ-компании из Владимирской области, вероятно скомпрометированного. Вложения маскировались под лицензии ПО и содержали троян удаленного доступа DarkTrack RAT, позволяющий вести кейлоггинг, получать данные с камеры и микрофона и управлять устройством жертвы.

В январе 2026 года атакующие перешли на использование Remcos RAT и расширили список целей, включив научно-исследовательские организации. Письма отправлялись с предположительно взломанных адресов, включая домены НИИ и компаний из Челябинской области. Архивы содержали документы-приманки, оформленные как отчеты по НИОКР и результаты испытаний.

В феврале 2026 года атаки продолжились, а список целей расширился.

По оценке F6, злоумышленники намеренно используют скомпрометированные почтовые адреса, чтобы маскировать вредоносные рассылки под официальные сообщения.