Аналитики компании F.A.C.C.T. зафиксировали в январе 2025 года массовые атаки кибершпионской группировки Rezet, также известной как Rare Wolf, на российские промышленные предприятия. Злоумышленники действовали через фишинговые письма, которые выглядели как приглашения на семинары по стандартизации оборонной продукции. Внутри находились архивы с вредоносными файлами, открытие которых приводило к заражению рабочих станций.
Группировка Rezet действует с октября 2018 года и специализируется на фишинговых атаках. По данным исследователей, за последние годы злоумышленники совершили около 500 атак на промышленные предприятия России, Беларуси и Украины. В кампаниях 2021 и 2023 годов использовался вредоносный файл rezet.cmd, по которому и была названа группа.
В январе 2025 года атакующие рассылали письма от имени компании, сопровождающей контракты в сфере гособоронзаказа. Под удар попали предприятия химической, фармацевтической и пищевой промышленности. В первой рассылке внутри архива находился PDF-документ-приманка и вредоносный файл. Пароль к архиву указывался прямо в письме, что помогало обходить антивирусную защиту. После открытия документа происходило заражение системы, но пользователь этого не замечал, поскольку на экране открывался поддельный PDF-файл.
Через несколько дней злоумышленники разослали вторую и третью серии атак, изменив тактику. В новых письмах внутри архива уже находилось два заражённых файла, и открытие любого из них запускало вредоносный код. Такой подход значительно увеличивал вероятность успешного заражения рабочих станций.
Специалисты F.A.C.C.T. провели анализ вредоносных файлов и подтвердили, что за атакой стоит Rezet. Среди выявленных индикаторов компрометации – вредоносные файлы с характерными хешами, сетевые адреса (vniir[.]space, 45[.]83[.]192[.]163) и отправители с доменов vniir[.]nl.