Исследователи из Лаборатории Касперского сообщили о деятельности APT-группы Angry Likho (также известной как Sticky Werewolf), которую отслеживают с 2023 года. Группа имеет сходства с Awaken Likho, но ее атаки носят целевой характер, используют компактную инфраструктуру и ограниченный набор вредоносных инструментов.

Цели и география:

Angry Likho нацелена на сотрудников крупных организаций, включая госучреждения и подрядчиков. Основные цели — Россия и Беларусь, случайные жертвы могут быть связаны с исследователями, использующими песочницы или узлы Tor/VPN. Участники группы, вероятно, являются носителями русского языка и могут быть связаны с Украиной.

Методы атак:

Группа использует фишинговые письма с вложениями, такими как RAR-архивы, содержащие вредоносные LNK-файлы и легитимные файлы-приманки. Активность злоумышленников периодически приостанавливается, после чего возобновляется с измененными методами.

Новые импланты:

В июне 2024 года был обнаружен имплант FrameworkSurvivor.exe, распространяемый через поддельный домен. Он создан с использованием легитимного установщика Nullsoft Scriptable Install System и функционирует как самораспаковывающийся архив (SFX). Архив содержит скрипт, который извлекает файлы, переименовывает их и запускает вредоносный код, проверяя наличие эмуляторов для избежания обнаружения. Основная логика реализована через скомпилированный скрипт AutoIt, который в конечном итоге загружает троян Lumma Stealer.

Новая активность:

В январе 2025 года зафиксирован новый всплеск активности Angry Likho, что подтверждает продолжение угрозы. Подробности и индикаторы компрометации (IoC) доступны в отчете.