Grupo Fluffy Wolf Ataca Empresas Russas com Nova Malware
Ameaças persistentes e direcionadas (APT) do grupo Fluffy Wolf visam empresas russas com novas táticas, incluindo o uso de phishing e malware-as-a-service (MaaS). A análise da BI.ZONE Threat Intelligence revela o uso de novos carregadores, como o PowerLoader, e o emprego de ferramentas como PureLogs, PureRAT e o ransomware Pay2Key.
MundiX News·29 de maio de 2026·3 min de leitura·👁 19 views
Especialistas da BI.ZONE Threat Intelligence relataram novos ataques do grupo Fluffy Wolf contra empresas russas. De março a maio de 2026, os criminosos cibernéticos atacaram organizações dos setores de construção, consultoria, engenharia, varejo, e-commerce e indústria. O principal vetor de ataque foram e-mails de phishing com supostas alegações financeiras e exigências de pagamento de dívidas.
Nos e-mails, os hackers se passavam por parceiros ou contratados das empresas-vítimas. Anexados às mensagens estavam "atos de reconciliação", "reclamações" e outros documentos que, na verdade, eram arquivos com malware. Às vezes, o anexo era anexado diretamente, e em outros casos, a vítima recebia um link para um repositório GitHub, de onde um arquivo RAR era baixado. De acordo com os pesquisadores, o Fluffy Wolf usa ativamente o GitHub porque esses links parecem legítimos e ajudam a contornar filtros de e-mail e outros meios de proteção. Como resultado, a probabilidade de um usuário abrir o arquivo malicioso aumenta significativamente.
Dentro dos arquivos, havia vários carregadores e droppers projetados para entregar o malware PureLogs, PureRAT e o ransomware Pay2Key. É enfatizado que o grupo quase não desenvolve suas próprias ferramentas: a maioria dos componentes é comprada na dark web no modelo malware-as-a-service (MaaS). Por exemplo, uma assinatura anual do PureCrypter custa cerca de US$ 449, PureLogs - US$ 1.250 e PureRAT - US$ 1.499. Os especialistas prestaram atenção especial ao novo carregador PowerLoader, que não havia sido encontrado anteriormente em ataques do Fluffy Wolf. Essa ferramenta é escrita em C++ e executa o PowerShell em modo oculto, recebendo scripts do servidor de comando e controle. Posteriormente, o malware baixa e executa o PureCrypter, que já implanta a carga útil final. "Na nova campanha, o grupo reduziu os custos de implementação do ataque: o carregador PowerLoader custou cerca de US$ 120. O custo total de todo o arsenal de malware é estimado em vários milhares de dólares. Em caso de ataque bem-sucedido, o cluster pode obter enormes lucros. Assim, em 2025, a quantia média que os invasores exigiram das vítimas como resgate para restaurar o acesso aos dados foi de US$ 193.000", diz Oleg Skulkin, chefe da BI.ZONE Threat Intelligence.
Os pesquisadores também descobriram uma nova versão do PureRAT com o plugin PluginRemoteDesktop, que não havia sido usado anteriormente em ataques a organizações russas. Este módulo permite que os invasores controlem totalmente a área de trabalho da vítima: transmitir a imagem da tela, rastrear janelas ativas, emular a entrada do teclado e do mouse e enviar mensagens para as janelas dos aplicativos. Além disso, o Fluffy Wolf continua a usar o stealer PureLogs para roubar credenciais, arquivos de cookie, histórico do navegador e dados de clientes de e-mail. Os analistas notaram que agora o malware envia diferentes tipos de informações roubadas para URLs separados. Presumivelmente, isso simplifica o processamento de dados do lado dos operadores. Em um dos incidentes estudados, os invasores também implantaram o ransomware Pay2Key no sistema da vítima, baseado no ransomware Mimic. O malware criptografou arquivos, adicionando a extensão .ywgulm_p2k a eles e, em seguida, salvou uma nota de resgate em três idiomas: russo, inglês e espanhol. De acordo com especialistas, os e-mails de phishing continuam sendo a principal forma de penetração na infraestrutura das empresas. No ano passado, 64% dos ataques direcionados começaram com eles, enquanto em 2024, essa figura era de 57%.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Especialistas da BI.ZONE Threat Intelligence relataram novos ataques do grupo Fluffy Wolf contra empresas russas. De março a maio de 2026, os criminosos cibernéticos atacaram organizações dos setores de construção, consultoria, engenharia, varejo, e-commerce e indústria. O principal vetor de ataque foram e-mails de phishing com supostas alegações financeiras e exigências de pagamento de dívidas.
Nos e-mails, os hackers se passavam por parceiros ou contratados das empresas-vítimas. Anexados às mensagens estavam "atos de reconciliação", "reclamações" e outros documentos que, na verdade, eram arquivos com malware. Às vezes, o anexo era anexado diretamente, e em outros casos, a vítima recebia um link para um repositório GitHub, de onde um arquivo RAR era baixado. De acordo com os pesquisadores, o Fluffy Wolf usa ativamente o GitHub porque esses links parecem legítimos e ajudam a contornar filtros de e-mail e outros meios de proteção. Como resultado, a probabilidade de um usuário abrir o arquivo malicioso aumenta significativamente.
Dentro dos arquivos, havia vários carregadores e droppers projetados para entregar o malware PureLogs, PureRAT e o ransomware Pay2Key. É enfatizado que o grupo quase não desenvolve suas próprias ferramentas: a maioria dos componentes é comprada na dark web no modelo malware-as-a-service (MaaS). Por exemplo, uma assinatura anual do PureCrypter custa cerca de US$ 449, PureLogs - US$ 1.250 e PureRAT - US$ 1.499. Os especialistas prestaram atenção especial ao novo carregador PowerLoader, que não havia sido encontrado anteriormente em ataques do Fluffy Wolf. Essa ferramenta é escrita em C++ e executa o PowerShell em modo oculto, recebendo scripts do servidor de comando e controle. Posteriormente, o malware baixa e executa o PureCrypter, que já implanta a carga útil final. "Na nova campanha, o grupo reduziu os custos de implementação do ataque: o carregador PowerLoader custou cerca de US$ 120. O custo total de todo o arsenal de malware é estimado em vários milhares de dólares. Em caso de ataque bem-sucedido, o cluster pode obter enormes lucros. Assim, em 2025, a quantia média que os invasores exigiram das vítimas como resgate para restaurar o acesso aos dados foi de US$ 193.000", diz Oleg Skulkin, chefe da BI.ZONE Threat Intelligence.
Os pesquisadores também descobriram uma nova versão do PureRAT com o plugin PluginRemoteDesktop, que não havia sido usado anteriormente em ataques a organizações russas. Este módulo permite que os invasores controlem totalmente a área de trabalho da vítima: transmitir a imagem da tela, rastrear janelas ativas, emular a entrada do teclado e do mouse e enviar mensagens para as janelas dos aplicativos. Além disso, o Fluffy Wolf continua a usar o stealer PureLogs para roubar credenciais, arquivos de cookie, histórico do navegador e dados de clientes de e-mail. Os analistas notaram que agora o malware envia diferentes tipos de informações roubadas para URLs separados. Presumivelmente, isso simplifica o processamento de dados do lado dos operadores. Em um dos incidentes estudados, os invasores também implantaram o ransomware Pay2Key no sistema da vítima, baseado no ransomware Mimic. O malware criptografou arquivos, adicionando a extensão .ywgulm_p2k a eles e, em seguida, salvou uma nota de resgate em três idiomas: russo, inglês e espanhol. De acordo com especialistas, os e-mails de phishing continuam sendo a principal forma de penetração na infraestrutura das empresas. No ano passado, 64% dos ataques direcionados começaram com eles, enquanto em 2024, essa figura era de 57%.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
