گروه تهدید نادر گرگینه از نرم‌افزارهای مشروع در حملات علیه صدها شرکت روسی استفاده می‌کند

گروه تهدید Rare Werewolf (سابقاً Rare Wolf) که از سال ۲۰۱۹ فعال است، مسئول سری حملات سایبری علیه روسیه و کشورهای مشترک‌المنافع است. این گروه به جای توسعه بدافزار اختصاصی، از نرم‌افزارهای مشروع شخص ثالث، فایل‌های دستوری و اسکریپت‌های PowerShell استفاده می‌کند تا دسترسی از راه دور برقرار کرده، اعتبارنامه‌ها را سرقت کند و ماینر ارز دیجیتال XMRig را مستقر نماید. این حملات صدها کاربر روسی در شرکت‌های صنعتی و مدارس مهندسی را تحت تأثیر قرار داده است.

گروه جدید DarkGaboon نیز از می ۲۰۲۳ با انگیزه مالی، نهادهای روسی را با باج‌افزار LockBit 3.0 هدف قرار می‌دهد. هر دو گروه از ایمیل‌های فیشینگ حاوی فایل‌های آرشیو و ابزارهای مشروع مانند AnyDesk، 4t Tray Minimizer و Defender Control استفاده می‌کنند تا حضور خود را پنهان کرده و تشخیص و انتساب فعالیت‌های مخرب را دشوار سازند. Rare Werewolf حتی سیستم‌های قربانی را در ساعت ۱ شب بیدار کرده و تا ساعت ۵ صبح دسترسی از راه دور برقرار می‌کند.