#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Проанализированное вредоносное ПО представляет собой угрозу на основе Python, использующую многоступенчатую обфускацию, и состоит из большого файла, содержащего в основном данные-наполнители, с полезной нагрузкой, предназначенной для Внедрения кода в процесс в законные двоичные файлы Windows. В нем используется обманчивая полиэтиленовая капельница под названием 'ntoskrnl.exe "чтобы выдать себя за файл ядра Windows, в то же время размещая среду выполнения Python и запутанную основную полезную нагрузку. После запуска вредоносное ПО выполняет Внедрение кода в процесс после устранения обфускации своей скрытой полезной нагрузки, что позволяет ему скрытно работать в рамках законных процессов.
-----

Анализируемый образец вредоносного ПО представляет собой угрозу на основе Python, использующую сложные многоступенчатые методы запутывания. Ядром вредоносного ПО является файл размером 65 МБ, который в основном состоит из данных-заполнителей, с небольшим сегментом в конце, содержащим действительный маршаллированный .pyc-код, ответственный за Внедрение кода в процесс в законные двоичные файлы Windows. Этот вводимый код извлекает .NET-компонент из его инфраструктуры управления (C2), облегчая скрытое закрепление и связь с сервером C2. Архитектура вредоносного ПО включает в себя несколько уровней кодирования, маскировку типов архивов и интеграцию среды выполнения Python, упакованной в законно выглядящий исполняемый файл, в частности, имитирующий официальный файл Windows.

Первоначальная доставка и выполнение вредоносного ПО осуществляется с помощью PE (переносимого исполняемого файла)-дроппера, который содержит процедуру дешифрования во время выполнения. Эта процедура создает большой буфер в стеке, используя быстрые операции SIMD (одна инструкция, несколько данных) перед записью восстановленной полезной нагрузки на диск. Это приводит к созданию файла config.bat, который позволяет вредоносному ПО сохраняться до его запуска.

На этапе загрузки используется файл с именем 'ntoskrnl.exe ," который выдает себя за файл ядра Windows. На самом деле, в нем находится встроенная среда выполнения Python наряду с запутанной основной полезной нагрузкой, называемой Lib\image. Чтобы отвлечь внимание пользователя, загрузчик открывает поддельный PDF-документ после заражения.

При выполнении среда выполнения Python извлекает скрытую вредоносную полезную нагрузку из файла изображения, используя процесс устранения обфускации, который включает многоуровневые преобразования. По завершении этого извлечения полезная нагрузка инициирует атаку Внедрения кода в процесс - скрытую тактику, которая позволяет выполнять свои вредоносные операции в рамках законного процесса Windows. Этот метод не только облегчает выполнение полезной нагрузки при минимизации рисков обнаружения, но и повышает общую скрытность вредоносного ПО и эффективность обхода мер безопасности.

#ParsedReport #CompletenessLow
19-11-2025

Unwanted Gifts: Major Campaign Lures Targets with Fake Party Invites

https://www.security.com/threat-intelligence/rmm-logmein-attacks

Report completeness: Low

Threats:
Logmein_tool
Naverisk_tool
Screenconnect_tool
Hidemouse
Passview_tool
Defendercontrol_tool
Simplehelp_tool
Atera_tool

Victims:
General organizations

ChatGPT TTPs:
do not use without manual check
T1036, T1105, T1108, T1219, T1566.002, T1588.003

IOCs:
File: 2
Hash: 58
Url: 51

Soft:
Zoom, Windows Defender

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Изощренный злоумышленник использует тактику обмана, такую как поддельные приглашения на вечеринки, для распространения инструментов удаленного управления и мониторинга (RMM), таких как LogMeIn Resolve, Naverisk и ScreenConnect. Изначально они полагались на ScreenConnect, но диверсифицировали свой набор инструментов, вероятно, для того, чтобы запутать операции и снизить риски обнаружения. Вектор атаки включает вредоносные электронные письма, ведущие к подписанным исполняемым файлам, что указывает на намерение сохранить долгосрочный доступ для потенциальных вторичных атак, включая развертывание программ-вымогателей.
-----

Была выявлена изощренная кампания плодовитого злоумышленника, использующего тактику обмана, такую как поддельные приглашения на вечеринки, чтобы склонить цели к загрузке вредоносного программного обеспечения. Основное внимание в этой операции уделяется распространению инструментов удаленного управления и мониторинга (RMM), включая LogMeIn Resolve, Naverisk и ScreenConnect. Отмечается, что злоумышленники используют стратегию установки дополнительных инструментов RMM на скомпрометированные системы спустя долгое время после первоначального взлома, что указывает на потенциальные мотивы продажи доступа к этим системам другим вредоносным объектам, возможно, для вторичных атак, таких как внедрение программ-вымогателей.

Вектор атаки обычно включает электронные письма, содержащие вредоносные URL-адреса, которые ведут к исполняемым файлам установки или установщикам MSI. Некоторые из этих установщиков подписаны, что может создать ложное ощущение законности. В то время как на предыдущих этапах кампании в основном использовался ScreenConnect, акторы усовершенствовали свои методы для одновременного развертывания множества других инструментов RMM на компьютерах жертв. Часто встречающиеся инструменты во вторичном наборе инструментов включают различные типы программного обеспечения, хотя подробности об этих инструментах не разглашаются.

С момента начала этой кампании в апреле 2025 года злоумышленники изменили свои стратегии, выйдя за рамки сосредоточения исключительно на ScreenConnect. Нынешнее расширение использования инструментов может свидетельствовать о попытке запутать их операции и снизить риски обнаружения. Обоснование этого сдвига остается неопределенным; однако теории указывают на то, что, часто меняя свой набор инструментов, они стремятся сохранить оперативную скрытность. Кроме того, использование пробных лицензий для этих инструментов RMM может потребовать регулярных переходов, чтобы предотвратить истечение срока действия и сохранить доступ к скомпрометированным средам. В целом, эти действия отражают адаптивный ландшафт угроз, в котором злоумышленники постоянно совершенствуют свои методы использования уязвимостей и поддерживают постоянный доступ к целевым системам.

#ParsedReport #CompletenessHigh
19-11-2025

What We Do In The Shadow (AI): New Malware Strain Vamps Up

https://www.akamai.com/blog/security-research/2025/nov/new-malware-chat-completions-llm-shadow-ai

Report completeness: High

Threats:
Lamehug_tool
Promptlock
Sesameop
Todesk_tool
Juicypotato_tool
Pwdump_tool

Victims:
Enterprises, Llm service users

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1027, T1030, T1036, T1041, T1053.005, T1055, T1057, T1059, T1071.001, have more...

IOCs:
Path: 8
File: 5
IP: 1
Url: 2
Domain: 1
Hash: 9
Registry: 1

Soft:
OpenAI, curl, Hugging Face, Azure Functions, SunLogin, NetSarang, Chrome, TightVNC

Algorithms:
base64, xor

Win API:
LoadLibrary, GetProcAddress

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LameHug - это новый штамм вредоносного ПО, который использует законный API модели большого языка для маскировки своих вредоносных действий, устанавливая командные соединения с помощью замаскированных строк Base64. Он напрямую взаимодействует с API Hugging Face для динамической генерации и выполнения команд в системах-жертвах, тем самым избегая обнаружения. Это вредоносное ПО обладает такими функциями, как создание пользователя, Удаление файлов и скриншоты, используя жестко закодированные ссылки на сервер C2 и методы постоянной установки для обеспечения скрытого и долгосрочного доступа.
-----

Появилась новая разновидность вредоносного ПО, известная как LameHug, которая использует законную конечную точку API large language model (LLM) для маскировки своей вредоносной активности. Это вредоносное ПО устанавливает соединение command and control (C2), передавая строку, имитирующую кодировку Base64, вместо того, чтобы следовать стандартным протоколам связи. Этот сложный метод сопряжен со значительными рисками, в том числе позволяет злоумышленникам получить полный контроль над системами жертв и отфильтровать конфиденциальные данные.

В ходе анализа было обнаружено, что LameHug напрямую взаимодействует с моделью LLM, доступной через API Hugging Face, динамически генерируя команды, которые вредоносное ПО выполняло бы в системе жертвы. Такое неправомерное использование API не только подчеркивает эволюционирующую тактику киберпреступников, но и их способность использовать те самые инструменты, которые предназначены для законных целей. Коммуникация вредоносного ПО намеренно сконструирована таким образом, чтобы отклоняться от ожидаемых шаблонов ответов API, что затрудняет ее обнаружение.

Вредоносное ПО использует процесс расшифровки XOR и Base64 для управления данными ответа, которые оно извлекает, что позволяет ему скрытно выполнять команды. Примечательно, что были идентифицированы предыдущие варианты LameHug, которые имеют схожие структуры команд и методологии C2, хотя и с разными адресами серверов. Полезная нагрузка вредоносного ПО включает в себя такие функции, как создание новых пользователей, выполнение команд, удаление файлов, мониторинг локальных дисков и даже создание скриншотов, что указывает на широкие возможности удаленного доступа и контроля.

Кроме того, LameHug включает в себя жестко запрограммированные ссылки на различные серверы C2 и способен загружать дополнительные полезные данные динамическими средствами. Он регистрируется как постоянное присутствие на компьютере жертвы, что включает в себя запись его двоичного файла в общие каталоги и настройку запланированных задач для обеспечения его непрерывной работы. Использование общей программной инфраструктуры не только облегчает скрытность вредоносного ПО среди обычного сетевого трафика, но и увеличивает его шансы на долгосрочное выживание в целевой среде.

Стратегическое решение направлять командный трафик и трафик эксфильтрации через широко используемую конечную точку использует преимущества быстрого внедрения LLMS, стирая границы между законной деятельностью и вредоносным поведением. Поскольку злоумышленники адаптируют свои стратегии в ответ на развитие технологий, организации должны сохранять бдительность и укреплять свою защиту от таких изощренных угроз.

#ParsedReport #CompletenessLow
19-11-2025

Analyzing the latest Sneaky2FA Browser-in-the-Browser phishing page

https://pushsecurity.com/blog/analyzing-the-latest-sneaky2fa-phishing-page/

Report completeness: Low

Threats:
Sneaky_2fa_tool
Bitm_technique
Tycoon_framework
Nakedpages_tool
Flowerstorm_tool
Salty_2fa_tool
Evilginx_tool
Aitm_technique

Victims:
Enterprise business targets

Industry:
E-commerce

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1071.001, T1090.003, T1189, T1204.001, T1497.003, T1556.006, T1564.003, T1566.002, have more...

IOCs:
Domain: 1

Soft:
Telegram, Cloudflare Turnstile

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Инструментарий Sneaky2FA для фишинга эволюционировал за счет интеграции технологии Browser-in-the-Browser (BITB), которая усиливает обман за счет размещения подлинных страниц фишинга во встроенном браузере. Злоумышленники внедряют надежную защиту от ботов, такую как CAPTCHA, и условную загрузку, чтобы ограничить доступ к страницам фишинга на основе IP-адресов, что усложняет обнаружение. Кроме того, они используют ротацию доменов и длинные, безобидные на вид URL-адреса наряду с запутанным внутренним кодом, чтобы повысить эффективность кампании и обойти меры безопасности.
-----

Инструментарий Sneaky2FA для фишинга недавно интегрировал технологию Browser-in-the-Browser (BITB), что ознаменовало заметную эволюцию в методологиях фишинга. Первоначально идентифицированный в 2022 году, BITB заметно отличается от традиционных подходов "Атакующий посередине" (AITM), поскольку использует встроенное окно браузера для размещения реальных страниц фишинга, что усиливает обман, связанный с этими атаками.

Чтобы помешать анализу с помощью мер безопасности, злоумышленники внедряют надежные механизмы защиты от ботов, такие как CAPTCHA и Cloudflare Turnstile. Эти меры вынуждают пользователей проходить проверку ботом, прежде чем получить доступ к странице фишинга, что усложняет автоматизированное обнаружение и позволяет в ходе операции фишинга получать критическую информацию без вмешательства средств безопасности.

Кроме того, злоумышленники используют условную загрузку, чтобы ограничить доступ к своим страницам фишинга, что помогает продлить срок службы их кампаний. Эта тактика нацелена на известные IP-адреса поставщиков систем безопасности и может даже нацеливаться на конкретные организации или пользователей, что еще больше снижает риск обнаружения. Внутренний код страниц Sneaky2FA сильно запутан, используются стратегии HTML и JavaScript, которые скрывают интерфейс и контент от систем обнаружения, оставаясь визуально понятными пользователям.

Смена домена и маскировка URL-адресов являются важнейшими компонентами этих операций фишинга. В каждой кампании обычно используются недавно сгенерированные длинные URL-адреса (около 150 символов), связанные с доброкачественными доменами, часто скомпрометированными или ранее неактивными. Такие домены, как правило, недолговечны, и многие из них быстро удаляются после использования, придерживаясь стратегии "сжечь и заменить", которая усложняет традиционную защиту, зависящую от репутации домена.

Внедрение методов BITB, похоже, набирает обороты среди различных платформ для фишинга как услуги (PhaaS), таких как Raccoon0365, которая выразила намерения включить аналогичную функциональность BITB в свои предложения. Эта тенденция означает более широкий сдвиг в тактике фишинга в рамках все более профессиональной экосистемы киберпреступности, особенно в связи с тем, что атаки, основанные на идентификационных данных, остаются основной причиной утечек данных. Таким образом, злоумышленники получают стимул совершенствовать свои методы, подчеркивая необходимость постоянной адаптации мер кибербезопасности к меняющимся угрозам.

#ParsedReport #CompletenessMedium
19-11-2025

ShadowPad attack case analysis exploiting WSUS remote code execution vulnerability (CVE-2025-59287)

https://asec.ahnlab.com/ko/91101/

Report completeness: Medium

Actors/Campaigns:
Winnti

Threats:
Shadowpad
Powercat_tool
Netcat_tool
Dll_sideloading_technique

Victims:
Wsus servers, Enterprises

Geo:
Chinese

CVEs:
CVE-2025-59287 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_server_2012 (-, r2)
- microsoft windows_server_2016 (<10.0.14393.8524)
- microsoft windows_server_2019 (<10.0.17763.7922)
- microsoft windows_server_2022 (<10.0.20348.4297)
- microsoft windows_server_2022_23h2 (<10.0.25398.1916)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.003, T1105, T1190, T1574.002

IOCs:
Command: 1
File: 2
IP: 1
Path: 6
Url: 3
Hash: 2

Soft:
curl, Task Scheduler

Algorithms:
gzip, deflate, md5

Win Services:
WebClient

Languages:
powershell

Platforms:
x64

Links:
https://github.com/besimorhino/powercat

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Аналитический центр безопасности AhnLab сообщил об использовании уязвимости CVE-2025-59287 в службах обновления Microsoft Windows Server, позволяющей злоумышленникам выполнять произвольный код с системными привилегиями. После раскрытия информации PowerCat был использован для получения доступа к командной оболочке, что привело к развертыванию вредоносного ПО ShadowPad с помощью законных инструментов, таких как curl.exe . ShadowPad использует DLL Sideloading, что усложняет обнаружение и обеспечивает постоянный контроль над скомпрометированными системами, подчеркивая срочность устранения этой угрозы.
-----

Недавний анализ, проведенный аналитическим центром безопасности AhnLab (ASEC), выявил значительную киберугрозу, связанную с использованием уязвимости удаленного выполнения кода в службах обновления Microsoft Windows Server (WSUS), каталогизированной как CVE-2025-59287. Эта уязвимость позволяет злоумышленникам выполнять произвольный код с системными привилегиями на серверах, на которых включена служба WSUS. После его раскрытия Microsoft 14 октября 2023 года была подчеркнута серьезность CVE-2025-59287, особенно после того, как 22 октября был обнародован код проверки концепции (PoC).

30 октября инфраструктура AhnLab Smart Defense (ASD) обнаружила использование PowerCat против уязвимого сервера Windows. Этот инструмент облегчил злоумышленникам доступ к командной оболочке целевой системы, что свидетельствует об успешном первоначальном проникновении. Впоследствии, 6 ноября, злоумышленники воспользовались той же уязвимостью для развертывания вредоносного ПО ShadowPad, используя законные утилиты Windows, такие как curl.exe и certutil.exe . Это знаменует собой ключевой этап атаки, поскольку демонстрирует стратегическое использование встроенных инструментов для облегчения вредоносных действий.

ShadowPad, который был задействован в многочисленных кампаниях различных китайских APT-группировок с момента своего первого появления в 2017 году, работает с использованием методологии, которая обходит традиционное обнаружение. В отличие от типичного вредоносного ПО, которое функционирует как автономный исполняемый файл, ShadowPad использует методы DLL Sideloading, используя файлы, которые могут казаться законными или совпадать с именами из предыдущих случаев атаки, тем самым усложняя усилия по обнаружению.

Использование CVE-2025-59287 сопряжено со значительными рисками, поскольку оно допускает распространение ShadowPad, который может установить постоянный контроль над скомпрометированными системами. Быстро развивающийся характер этой угрозы подчеркивает необходимость немедленных действий со стороны групп корпоративной безопасности, использующих WSUS, для устранения уязвимостей и предотвращения потенциальных нарушений, связанных с этим критическим эксплойтом.

#ParsedReport #CompletenessLow
20-11-2025

Reoccurring Use of Highly Suspicious PDF Editors to Infiltrate Environments

https://www.truesec.com/hub/blog/reoccurring-use-of-highly-suspicious-pdf-editors-to-infiltrate-environments

Report completeness: Low

IOCs:
File: 3
Hash: 4
Domain: 8

Algorithms:
exhibit, sha256

#ParsedReport #CompletenessLow
20-11-2025

Dark Web Profile: Sarcoma Ransomware

https://socradar.io/dark-web-profile-sarcoma-ransomware/

Report completeness: Low

Threats:
Sarcoma
Credential_dumping_technique

Victims:
Manufacturing sector, Technology sector, Organizations in western jurisdictions

Industry:
Retail, Healthcare, Foodtech

Geo:
Italy, Canada

ChatGPT TTPs:
do not use without manual check
T1021, T1041, T1059, T1069, T1190, T1486, T1490, T1591, T1654

Soft:
Linux, ESXi

Algorithms:
chacha20

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа вымогателей Sarcoma, действующая с конца 2024 года, использует агрессивную тактику двойного вымогательства, похищая конфиденциальные данные перед шифрованием систем, чтобы использовать переговоры о выкупе. Нацеливаясь на организации в таких критически важных секторах, как производство и технологии, Sarcoma проводит методичные многоэтапные вторжения, начиная с разведки, а затем расширяя их доступ для сбора ценных данных. Группа представляет значительную угрозу из-за своей оперативной направленности на максимизацию ущерба путем публичного раскрытия украденной информации.
-----

Группа вымогателей Sarcoma, появившаяся в конце 2024 года, быстро зарекомендовала себя как серьезная киберугроза благодаря своей агрессивной тактике двойного вымогательства. Эта группа использует комбинацию кражи данных и системного шифрования, чтобы максимально использовать рычаги воздействия при переговорах о выкупе, создавая риски для множества организаций по всему миру. Операционная модель Sarcoma's предполагает кражу конфиденциальной информации перед шифрованием систем, тем самым оказывая давление на жертв угрозой разглашения общедоступных данных.

Группа нацелена на организации, основанные на четком коммерческом обосновании, уделяя особое внимание тем, чья деятельность критически нарушена шифрованием и репутации которых может быть нанесен ущерб в результате утечки данных. Следовательно, Sarcoma в основном работает в западных юрисдикциях, уделяя особое внимание таким секторам, как производство и технологии. Эти отрасли особенно привлекательны из-за высокой ценности украденных данных, таких как файлы дизайна и записи клиентов, которые могут значительно усилить переговорную силу при переговорах о выкупе.

Оперативная стратегия Sarcoma состоит из методичных, многоэтапных вторжений, которые сочетают разведку с внезапными, впечатляющими сбоями. Первоначально группа проводит тщательный анализ потенциальных целей, позволяя им адаптировать свои стратегии входа и эскалации в зависимости от конкретных условий, с которыми они сталкиваются. После успешного проникновения злоумышленники следуют последовательному процессу: расширяют свой доступ в сети, собирают ценные данные и шифруют системы, одновременно угрожая опубликовать украденную информацию, если не будет выплачен выкуп.

Для защиты от программ-вымогателей Sarcoma организациям рекомендуется внедрять многоуровневые и упреждающие меры безопасности. Учитывая скоординированный характер атак Sarcoma's, полагаться на единый защитный механизм недостаточно. Вместо этого для снижения риска и ограничения общего воздействия таких киберугроз необходим комплексный подход, учитывающий множество потенциальных векторов атак.

#ParsedReport #CompletenessMedium
20-11-2025

Blockchain and Node.js abused by Tsundere: an emerging botnet

https://securelist.com/tsundere-node-js-botnet-uses-ethereum-blockchain/117979/

Report completeness: Medium

Threats:
Tsundere
Typosquatting_technique
Supply_chain_technique

Victims:
Software supply chain, Gaming users

Industry:
E-commerce, Financial

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.001, T1059.007, T1071.001, T1102, T1104, T1105, T1132, T1140, have more...

IOCs:
File: 6
Domain: 1
Registry: 1
Coin: 8
IP: 5
Hash: 16
Path: 1

Soft:
Node.js, Linux, macOS, valorant, Windows Installer

Crypto:
ethereum, monero

Algorithms:
aes-256, aes-256-cbc, zip, base64, cbc, aes

Languages:
javascript, powershell

#ParsedReport #ExtractedSchema

Classified images:
code: 6, schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет Tsundere, обнаруженный Kaspersky GReAT в середине 2025 года, использует Node.js и технологию блокчейн для своих операций, использующую 287 вредоносных программ Node.js пакеты, распространяемые через npm с использованием typosquatting. Первоначальные заражения были связаны со скомпрометированными инструментами удаленного мониторинга и управления, в то время как вредоносное ПО распространяется через установщики MSI и скрипты PowerShell, использующие шифрование AES-256-CBC. Его инфраструктура управления использует соединения WebSocket и блокчейн Ethereum для динамического обновления адресов, что указывает на постоянного и адаптируемого злоумышленника, вероятно, российского происхождения.
-----

Ботнет Tsundere, обнаруженный Kaspersky GReAT в середине 2025 года, представляет собой значительную эволюцию в области киберугроз, использующую Node.js и технология блокчейн для его работы. Этот злоумышленник разработал и распространял вредоносные программы Node.js пакеты через диспетчер пакетов Node (npm) с помощью методов typosquatting, создающих 287 пакетов вредоносного ПО, нацеленных на несколько операционных систем, включая Windows, Linux и macOS. Пакеты имитировали популярные библиотеки и были удалены вскоре после обнаружения, но они ознаменовали серьезную атаку по Цепочке поставок.

Первоначальные векторы заражения ботнет Tsundere остаются несколько неоднозначными, но, по крайней мере, один случай был связан с использованием скомпрометированного инструмента удаленного мониторинга и управления (RMM). В данном случае был загружен исполняемый файл, замаскированный под PDF-файл. Другие предлагаемые методы включают маскировку вредоносного ПО под популярные игры, такие как "Valorant" и "CS2", обслуживающие пиратские сообщества.

Вредоносное ПО Tsundere может распространяться через два основных формата: установщик MSI и скрипт PowerShell. Установщик MSI замаскирован под законный установщик программного обеспечения и работает с обновленным списком файлов JavaScript и Node.js исполняемые файлы. Используемый им скрипт загрузки отвечает за расшифровку и выполнение основной функциональности бота, которая обрабатывает распаковку npm. Вариант PowerShell, с другой стороны, более оптимизирован. Он загружает официальный Node.js пакет и использует AES-256-CBC для расшифровки скриптов бота и закрепления непосредственно на целевом компьютере, в конечном счете выполняя вредоносные задачи.

Центральное место в работе бота Tsundere занимает его коммуникационный протокол управления (C2), который использует соединения WebSocket для доставки динамического кода JavaScript ботам. Бот использует блокчейн Ethereum для хранения своих адресов C2, изменяя переменные состояния с помощью смарт-контрактов. Это обеспечивает постоянную и отказоустойчивую инфраструктуру C2, поскольку адреса могут динамически обновляться при каждой транзакции и оставаться неизменяемыми после записи.

Процесс взаимодействия вредоносного ПО включает отправку зашифрованных объектов JSON обратно в C2, что обеспечивает безопасные и гибкие операции. Кроме того, ботнет оснащен торговой площадкой и Панелью управления, что консолидирует его командную структуру. Атрибуция предполагает, что разработчик, скорее всего, русскоязычный, что согласуется с предыдущими атаками, связанными с этим злоумышленником.