🔍 TrustFall & MystRodX:

Исследователи из АО ГТС на PROFIT.KZ представили разбор вредоносной активности, в которой фигурируют два связанных инструмента — TrustFall и MystRodX.
Они отдельно отметили, что о схожем вредоносе ранее писали аналитики QAX (@RedDrip7), которые использовали название MystRodX для такого же типа атаки.
По данным ГТС, это звенья одной кампании, наблюдавшейся в 2025 году.

🧩 TrustFall (март 2025)
Лёгкий backdoor: выполняет команды через /bin/sh, пакует данные (tar -czvf), удаляет следы (rm -rf) и отправляет информацию через POST на /news/data_form.php. Использует фиксированные C2 и позже — шифрование.

🧩 MystRodX (август 2025)
Более новая стадия той же линии: обновлённый модуль с другим форматом сетевого обмена, зашифрованным трафиком и расширенной C2-инфраструктурой. Распространялся через 139.84.156.79.

🗃 IOC
185.154.154.135
213.159.64.6
2.56.177.181
37.221.125.201
5.252.22.232
45.14.244.110
45.83.140.218
154.196.162.76
Сервер распространения
139.84.156.79
Конфигурационные файлы
tcbipkrn.config → 185.154.154.135
baeeajzb.config → 213.159.64.6
URI
/news/data_form.php
Поведенческие признаки
tar -czvf
rm -rf
/bin/sh -c "<command>"
шифрование трафика (в поздней активности)
смена канала управления

🎯 APT группы:

STA-2201
Группа, впервые замеченная в 2019, работает по двум направлениям:
• Initial Access Broker (первичный доступ)
• Классическая APT-активность: кража и эксфильтрация данных
Позже стала действовать более скрытно.
Сектора: госуправление, телеком.

STA-2404
Продвинутая хакерская группа, образованная после структурных изменений (детали скрыты).
Активность отслеживается с 2024 года (две волны).
Сектора: госуправление, энергетика, здравоохранение, наука, транспорт, финансы.

🔗 Ссылки
• Презентация: https://profitday.kz/pdf/security2025/15.pdf
• sts.kz
• Запись выступления: https://www.youtube.com/live/8eueDGkMMlo?t=26395
•https://blog.xlab.qianxin.com/mystrodx_covert_dual-mode_backdoor_en/
🦔 THF