Специалисты из отдела Threat Intelligence компании F6 обнаружили связь между кибершпионской кампанией HollowQuill и группой FakeTicketer. Атаки были направлены на российские промышленные компании с использованием поддельного письма от имени Балтийского государственного технического университета «ВОЕНМЕХ».
Эксперты из Positive Technologies уже в 2024 году обратили внимание на эту кампанию. Дополнительное расследование специалистов F6 показало сходства операций FakeTicketer и HollowQuill. Обе группы нацелены на промышленные компании, государственные учреждения и спортивных чиновников.
Анализ вредоносных программ и инфраструктуры выявил сходства между дропперами и доменными именами обеих групп. Код дропперов написан на C, а также обнаружены общие признаки в иконках и создании ярлыков. FakeTicketer ранее зарегистрировали домены с одинаковыми данными владельца, что также связывает их с кампанией HollowQuill. Вероятно, группа FakeTicketer стоит за кампанией HollowQuill, но уверенность в этом предположении пока не абсолютная.