В мае и июне 2026 года российские компании, работающие в секторе оптовой торговли химической продукцией, столкнулись с целенаправленной волной атак, за которой стоит группа Clubfoot Wolf. Злоумышленники использовали изощрённые методы социальной инженерии и технически сложную цепочку заражения, чтобы скрытно доставить и закрепить инструмент удалённого доступа. Атака начинается с тщательно подготовленного фишингового письма. Отправители выдают себя за реальных сотрудников, заинтересованных в приобретении продукции целевой организации. Письма оформлены как рутинные запросы коммерческих предложений или счетов, что снижает порог подозрительности получателя. К сообщению прикреплён ZIP-архив. Внутри него находится malicious LNK-файл и несколько decoy files — документов-приманок, призванных убедить жертву в легитимности вложения и побудить открыть его. Главной полезной нагрузкой группы выступает легитимное программное обеспечение для удалённого администрирования NetSupport Manager. Однако спос