Эксперты отметили, что за последние месяцы уже второй шпионский кластер — Sapphire Werewolf — маскирует фишинг под письма от рекрутеров, которые отправляет организациям ТЭК.

В компании уточнили, что обычно кластеры активности, действующие в целях шпионажа, маскируются под рекрутеров крайне редко — менее чем в 1% всех случаев. Как правило, кибершпионы предпочитают писать своим жертвам от лица регуляторов и других государственных организаций. Однако нынешняя кампания уже вторая за короткое время, когда шпионы притворяются HR-специалистами.В феврале 2025-го эксперты обнаружили, что злоумышленники попытались проникнуть в IT-инфраструктуру энергетической компании для скрытого сбора данных.

«Рассылая фишинговые письма под видом служебных записок от отдела кадров, они доставляли на компьютер жертвы усовершенствованную версию стилера Amethyst. С его помощью злоумышленники могли извлечь аутентификационные данные из Telegram, браузеров, файлы конфигураций удаленных рабочих столов и различные типы документов», — отметил руководитель BI.ZONE Threat Intelligence Олег Скулкин.

В 2024 году этот же кластер атаковал российские организации из сфер образования, IT, военно-промышленного комплекса и аэрокосмической отрасли, используя для кражи данных модифицированное вредоносное программное обеспечение SapphireStealer.