Sticky Werewolf 是一个威胁行为者，于 2023 年 4 月首次被发现，最初针对俄罗斯和白俄罗斯的公共组织。该组织已将业务扩展到各个领域，包括一家制药公司和一家专门从事微生物学和疫苗开发的俄罗斯研究机构。

在最新的活动中，Sticky Werewolf 针对航空业发送了据称来自 AO OKB Kristall 第一副总经理的电子邮件，AO OKB Kristall 是一家总部位于莫斯科的公司，从事飞机和航天器的生产和维护。此前，该组织使用带有恶意文件链接的网络钓鱼电子邮件。在最新的活动中，威胁行为者使用了包含指向存储在 WebDAV 服务器上的有效负载的 LNK 文件的存档文件。

在执行托管在 WebDAV 服务器上的二进制文件后，会启动一个经过混淆的 Windows 批处理脚本。该脚本运行 AutoIt 脚本，最终注入最终有效载荷。

“在之前的活动中，感染链始于包含从 gofile.io 等平台下载恶意文件的链接的网络钓鱼电子邮件。然而，在他们最新的活动中，感染方法已经发生了变化。” Morphisec 发布的分析报告写道。“最初的电子邮件包含一个存档附件；当收件人提取存档时，他们会找到 LNK 和诱饵文件。这些 LNK 文件指向托管在 WebDAV 服务器上的可执行文件。一旦执行，就会启动一个批处理脚本，然后启动一个 AutoIt 脚本，最终注入最终的有效负载。”

该档案包括一个诱饵 PDF 文件和两个伪装成 DOCX 文档的 LNK 文件，分别名为 Повестка совещания.docx.lnk（会议议程）和 Список рассылки.docx.lnk（邮件列表）。 

威胁行为者使用了据称由 AO OKB Kristall 第一副总经理兼执行董事发送的网络钓鱼消息。收件人是来自航空航天和国防部门的个人，他们被邀请参加有关未来合作的视频会议。这些消息使用包含恶意负载的受密码保护的存档。

威胁行为者使用的有效载荷包括商品 RAT 或窃取程序。最近，Sticky Werewolf 被发现在其活动中使用了Rhadamanthys Stealer和 Ozone RAT。在之前的攻击中，该组织还部署了 MetaStealer、DarkTrack 和NetWire。

“这些恶意软件可进行广泛的间谍活动和数据泄露。虽然没有确凿证据表明 Sticky Werewolf 的国籍，但地缘政治背景表明它可能与亲乌克兰的网络间谍组织或黑客活动分子有联系，尽管这种归属仍不确定。”该报告总结道，其中还包括入侵指标 (IoC)。