Проукраїнське угруповання Bearlyfy атакувало понад 70 російських компаній з моменту свого першого появи у середовищі кіберзагроз у січні 2025 року. В найновіших атаках група використовує власноруч розроблений вірус-здирник для Windows під назвою GenieLocker. Угруповання вперше задокументувала російська компанія з кібербезпеки F6 у вересні 2025 року: тоді Bearlyfy застосовувала шифрувальники на основі відомих сімейств LockBit 3 та Babuk, зосереджуючись на невеликих компаніях і вимагаючи викуп у розмірі близько €80 000. До серпня 2025 року група нарахувала щонайменше 30 підтверджених жертв. Починаючи з травня 2025 року, зловмисники почали також використовувати модифіковану версію PolyVice — сімейства ransomware, що приписується угрупованню Vice Society.

Технічний аналіз виявив перетин інфраструктури та інструментарію Bearlyfy з іншим проукраїнським угрупованням PhantomCore, яке відоме атаками на російські та білоруські компанії ще з 2022 року. Крім того, зафіксовано співпрацю Bearlyfy з угрупованням Head Mare. Початковий доступ до систем жертв Bearlyfy отримує через експлуатацію зовнішніх сервісів і вразливих застосунків — зокрема, в одному з інцидентів проти консалтингової компанії зловмисники використали вразливу версію платформи Bitrix для первинного проникнення, а потім скористалися критичною вразливістю Zerologon для підвищення привілеїв у мережі. Після закріплення у системі атакувальники розгортають інструмент MeshAgent для дистанційного керування, а потім здійснюють шифрування, знищення або підміну даних. Характерна особливість Bearlyfy: записки з вимогами викупу не генеруються автоматично самим вірусом — їх складають безпосередньо оператори. За оцінкою F6, менш ніж за рік група перетворилася з малодосвідченої команди на серйозну загрозу для великого бізнесу в Росії.