ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

В марте 2026 года Центр исследования угроз (TRC) компании Atos выявил сложную вредоносную кампанию, отличающуюся высокой отказоустойчивостью. Эта операция специально нацелена на профессиональные учетные записи с высокими привилегиями, принадлежащие корпоративным администраторам, инженерам DevOps и аналитикам по безопасности, путем маскировки под административные утилиты, которые они используют в повседневной работе. Благодаря интеграции методов отравления поисковых систем (SEO), двухэтапной архитектуры распространения через GitHub и децентрализованной системы управления и контроля (C2) на основе блокчейна злоумышленники создали чрезвычайно устойчивый механизм доставки и сохранения присутствия.

Креативное распространение через фасады GitHub

Кампания использует многоуровневую цепочку доставки, предназначенную для обхода блокировок на уровне платформы и поддержания высокого рейтинга в поисковых системах. Атака начинается с SEO-поизонирования в различных поисковых системах, включая Bing, Yahoo, DuckDuckGo и Yandex. Это гарантирует, что вредоносные результаты по нишевым IT-терминам занимают верхние позиции в результатах поиска. Сначала пользователей направляют в основной «фасадный» репозиторий GitHub. Эти репозитории оптимизированы для SEO, но не содержат вредоносного кода — только профессионально оформленный файл README.

Для обеспечения оперативной гибкости файл README содержит ссылку, направляющую жертву во второй, скрытый репозиторий GitHub. Он служит настоящим пунктом распространения вредоносного ПО. Разделив оптимизированный для SEO «витрину» и аккаунт для доставки полезной нагрузки, злоумышленники могут быстро менять свои репозитории распространения в случае обнаружения, в то время как основной фасад, индексируемый поисковыми системами, остается активным и нетронутым.

Стратегическое подражание инструментам и профилирование жертв

Кампания характеризуется фокусом на административном стеке. Распространяя вредоносные установщики MSI, замаскированные под такие инструменты, как PsExec, AzCopy, Sysmon, LAPS и Kusto Explorer, злоумышленник выполняет автоматическое профилирование жертв. Эти утилиты почти исключительно используются персоналом с повышенными сетевыми и системными правами. Успешное заражение рабочей станции администратора может предоставить «ключи от королевства», что облегчит латеральное перемещение внутри корпоративной среды.

Децентрализованное управление через Ethereum

Наиболее значимым с технической точки зрения аспектом кампании является реализация технологии Dead Drop Resolving (DDR) на основе блокчейна. После запуска вредоносного MSI-файла вредоносная программа не обращается к жестко запрограммированному домену или IP-адресу, которые можно легко занести в черный список. Вместо этого вредоносная программа повторно инициирует запрос к публичной RPC-конечной точке Ethereum (ETH).

В вредоносное ПО жестко запрограммирован конкретный адрес смарт-контракта в блокчейне Ethereum. Запрашивая этот контракт, вредоносное ПО динамически получает актуальный адрес сервера C2. Эта техника обеспечивает злоумышленнику чрезвычайную устойчивость:

Гибкость инфраструктуры: злоумышленник может менять серверы C2 по всему миру, просто обновляя значение, хранящееся в контракте блокчейна.

Надежность: пока доступны публичные шлюзы Ethereum, вредоносная программа всегда может найти свой «дом», что делает традиционные попытки удаления доменов или блокировки неэффективными.

Данное исследование представляет собой всесторонний технический анализ текущей кампании, основанный на длительном наблюдении и активном запуске в контролируемой среде. Наше исследование выходит за рамки первоначальных векторов доставки и рассматривает сложную инфраструктуру и поведение после эксплуатации.

Следующие данные отражают основные механизмы работы кампании, в том числе:

Распространение вредоносного ПО: разбор двухэтапной архитектуры репозитория GitHub и использования SEO-поизонинга для манипулирования результатами поисковых систем.

Подделка административных инструментов: подробный обзор конкретных административных утилит, которые подделываются для обеспечения компрометации ИТ-персонала с высокими привилегиями.

Логика вредоносного ПО: анализ вредоносных MSI-пакетов, включая их начальную подготовку и постоянные компоненты.

Децентрализованная инфраструктура C2: исследование использования вредоносным ПО смарт-контрактов Ethereum и публичных шлюзов RPC для динамического определения действующих адресов системы управления и контроля (C2).

ПРИМЕЧАНИЕ: В ходе завершения исследования мы обнаружили предварительное предупреждение от KISA&KrCERT/CC относительно кампании данного злоумышленника — ССЫЛКА. Хотя их первоначальный отчет обеспечил раннюю видимость, наше продолжительное расследование подтверждает, что кампания остается весьма активной и претерпела значительное техническое совершенствование.

Наше расследование также подтверждает, что вредоносное ПО развивается: с момента начала кампании было выявлено несколько различных вариантов и дополнительная инфраструктура C2.

Ознакомьтесь с последними данными об угрозах и результатами исследований злоумышленников в блогах Atos Cyber Shield.

Визуализация ниже демонстрирует двухэтапную цепочку распространения, в которой оптимизированный для SEO фасадный репозиторий перенаправляет ничего не подозревающих пользователей на вторичный аккаунт GitHub, на котором размещен вредоносный MSI-файл. Такая модульная архитектура позволяет злоумышленникам сохранять свои позиции в поисковых системах, даже если отдельные аккаунты, используемые для доставки полезной нагрузки, будут заблокированы.

Жизненный цикл вторжения начинается с поискового запроса через Bing (а также Yahoo, DuckDuckGo, Yandex) по специализированным утилитам для администрирования ИТ. Благодаря агрессивному SEO-поисковому отравлению злоумышленники гарантируют, что фасадный репозиторий GitHub занимает видное место среди первых результатов поиска. В данном случае пользователь, ищущий Kusto Explorer — важный инструмент для инженеров и аналитиков, запрашивающих данные в Azure Data Explorer через KQL — попадает на невредоносный витринный сайт, предназначенный для формирования первоначального доверия.

Поиск в Bing по запросу «kusto explorer download»

Первый репозиторий, который открывает пользователь, представляет собой витрину, имитирующую целевой административный инструмент. Этот фасадный репозиторий намеренно не содержит вредоносного ПО и служит лишь шлюзом ко второму, вредоносному этапу процесса доставки. Благодаря такой конструкции он сохраняет высокий рейтинг в поисковых системах.

Первый репозиторий GitHub — используется только в качестве фасада

Как мы видим, именно он сохраняется довольно долго

Встраивая ссылку в файл README чистого репозитория-фасада, злоумышленники эффективно отделяют свою видимость в поисковых системах от распространения вредоносного ПО. Этот второй репозиторий содержит фактическое вредоносное ПО, в то время как первый остается незараженным. Эта стратегия позволяет быстро восстанавливаться после удаления, поскольку злоумышленнику нужно обновить только один URL, чтобы восстановить цепочку заражения. Такое разделение является ключом к долговечности кампании, поскольку начальная целевая страница выглядит безобидной как для пользователей, так и для инструментов безопасности.

Ссылка на второй репозиторий GitHub, который предоставляет пользователю вредоносное ПО

История коммитов в фасадном репозитории GitHub: мы видим изменения ссылок на второй репозиторий GitHub

Перенаправление ведет пользователя во второй репозиторий GitHub, где размещено вредоносное ПО. Этот вторичный сайт выступает в качестве заключительного звена в цепочке распространения, предоставляя прямую загрузку вредоносного ПО, маскирующегося под административные инструменты.

Злоумышленник успешно взломал результаты поиска по большому набору административных инструментов Windows, разместив вредоносные витрины в самом верху Bing. Такое доминирующее присутствие в поиске эффективно маскирует угрозу, поскольку фасадные репозитории выглядят как основные, проверенные места загрузки важных ИТ-инструментов. Такая высокая видимость на первой странице является критическим фактором, который может помочь кампании охватить более широкий круг корпоративных сред.

SEO-поисковое отравление «ProcDump» в Bing и репозиторий злоумышленников на GitHub

SEO-поисковое отравление «LAPS» в Bing и репозиторий злоумышленников на GitHub

SEO-поисковое отравление «BgInfo» в Bing и репозиторий GitHub злоумышленников

SEO-поизонирование DuckDuckGo и репозиторий GitHub злоумышленников

SEO-поизонирование Yandex и репозиторий GitHub злоумышленников

SEO-поизонирование Yahoo и репозиторий GitHub злоумышленников

В период с начала декабря 2025 года по 1 апреля 2026 года злоумышленник развернул 44 отдельных фасада GitHub, каждый из которых имитировал тот или иной инструмент для администраторов или разработчиков. Такой подход, предполагающий создание большого количества репозиториев, свидетельствует о постоянных усилиях по максимальному повышению видимости в поисковых системах и захвату широкого спектра жертв с высокими привилегиями.

Всего выявлено 44 вредоносных репозитория GitHub

Sysinternals / Диагностика Autoruns, ProcDump, RAMMap, TCPView, Process Monitor, Process Explorer, Disk2vhd, Sysmon, DebugView, WinDbg, BgInfo

AD / Учетные данные / Администратор Windows ADK, Windows LAPS, RSAT, IIS Crypto, Profwiz, PCmover, Transwiz, Delprof2

Удаленный доступ Dameware, SecureCRT, SuperPuTTY, ScreenConnect Client, Bitvise SSH Client, TeraTerm

Передача данных / Облако AzCopy, FSLogix, PCmover, Transwiz

Безопасность / Аутентификация AppLocker, SafeNet Authentication Client, NSSM

Сеть / Отладка PRTG Network Monitor, HTTP Debugger

Утилиты / Бизнес-приложения KDiff3, Beyond Compare, BarTender, PaperPort

Разное: инструменты системного администрирования Autologon, Kusto Explorer, LEAP Desktop, VMware Tools

Кампания «Identified Threat Actors» специально нацелена на профессиональные наборы инструментов корпоративных администраторов, системных инженеров и специалистов по безопасности. В отличие от традиционных вредоносных кампаний, которые охватывают широкий круг обычных пользователей, эта деятельность хирургически сфокусирована на «коронных» учетных записях предприятия. Используя отравление поисковой оптимизации (SEO), злоумышленник распространяет вредоносные установщики MSI, имитирующие важные инструменты управления инфраструктурой и диагностики. Основная цель — получение учетных данных с высокими привилегиями и установка постоянных бэкдоров в корпоративных средах, что может привести к крупномасштабным утечкам данных.

Современная картина угроз характеризуется стратегическим подражанием утилитам, лежащим в основе современных ИТ-операций, таким как PsExec, AzCopy, Sysmon и LAPS. Обоснование выбора именно этих целей основано на усовершенствованной модели профилирования жертв. Поскольку обычный пользователь очень редко взаимодействует с отладчиком, таким как WinDbg, или набором средств развертывания, таким как Windows ADK, злоумышленник гарантирует, что каждое успешное заражение происходит на компьютере, принадлежащем пользователю с повышенными системными или сетевыми правами.

Психологическая составляющая этой кампании также отличается особой агрессивностью. Многие из этих утилит являются инструментами, которые защитники используют для расследования вредоносной активности. Это создает «ироническую приманку», когда специалист по безопасности, пытаясь диагностировать предполагаемую проблему с помощью такого инструмента, как Process Explorer или TCPView, непреднамеренно вводит угрозу. Доставляя их через выглядящие легитимными пакеты MSI, злоумышленники обходят первоначальные подозрения, часто связанные с необработанными скриптами или автономными исполняемыми файлами.

Последствия заражения могут быть разрушительными. Учитывая административный статус жертв, это часто перерастает в сценарий «ключи от королевства».

Atos TRC проанализировал ряд установщиков .msi из выявленных вредоносных репозиториев. Поскольку вредоносное ПО со временем эволюционировало, данный анализ сосредоточен на его последнем варианте. Все показанные пути, имена файлов, расширения и ключи относятся к одному конкретному образцу, так как они генерируются случайным образом для каждого из них.

Это вредоносное ПО представляет собой многоэтапный троян удаленного доступа (RAT) безфайлового типа, написанный на JavaScript и распространяемый в виде вредоносного установщика MSI, маскирующегося под различные инструменты ИТ-администрации и системного администрирования предприятий. Оно использует многоуровневое шифрование AES-256-CBC для сокрытия своей полезной нагрузки, резолвер dead-drop на основе блокчейна для отказоустойчивой связи C2 и движок конструктора AsyncFunction для произвольного удаленного выполнения кода. Node.js загружается во время выполнения с nodejs.org, а не входит в состав пакета, что позволяет сохранить небольшой размер пакета (~4,7 МБ) за счет необходимости доступа к Интернету во время заражения. В конечном итоге исследователи Atos определили, что это вредоносное ПО EtherRat — недавно появившаяся угроза, использующая Ethereum для хранения URL-адресов C2, что предотвращает уничтожение инфраструктуры.

Последние версии установщиков состоят из четырех файлов. При запуске MSI эти файлы извлекаются, и через «Пользовательское действие» запускается пакетный скрипт CMD, инициирующий цепочку, ведущую к развертыванию RAT:

Важно отметить, что расширения файлов различались среди проанализированных образцов, но файлом-инициатором всегда был файл с расширением «.cmd». В таблице приведены несколько примеров:

Образец № 1 Образец № 2 Образец № 3 Образец № 4

1 – Загрузчик в памяти .bak .cfg .xml .tmp

2 – Загрузчик/механизм сохранения .xml .bak .bak .dat

Имена файлов, ключи дешифрования, секретные данные, имена каталогов и расширения, представленные ниже, извлечены из последней версии установщика.

Точкой входа вредоносного ПО является сильно обфусцированный пакетный скрипт Windows (VW80IqXy.cmd), запускаемый с привилегиями SYSTEM модулем MSI CustomAction сразу после извлечения файлов. Его основной механизм обфускации разбивает все имена чувствительных команд — включая curl, tar, copy, start и cmd — на несколько присвоений переменных SET, которые незаметно объединяются во время выполнения, гарантируя, что в исходном файле не появятся узнаваемые ключевые слова, и обходя простой статический анализ на основе строк. Чтобы гарантировать выполнение в скрытом окне независимо от того, как MSI запустил его, скрипт немедленно перезапускает себя в виде свернутого фонового процесса и завершается, а перезапущенная копия выполняет всю фактическую работу. Эта копия приступает к созданию специфичного для сборки промежуточного каталога в %LOCALAPPDATA%\, загрузке среды выполнения Node.js с официального репозитория в временный архив с помощью curl, распаковке его в специфичный для сборки подкаталог среды выполнения внутри промежуточного каталога и удалению zip-архива, чтобы свести к минимуму следы на диске. После подготовки среды скрипт передает выполнение этапу 1, запуская входящий в комплект файл node.exe с файлом полезной нагрузки первого этапа, и завершает работу, не имея собственного механизма сохранения и не играя дальнейшей роли в цепочке заражения.

Упрощенная схема этапа 0 (ссылка на подробную)

Файл: ZOVTSc3WW9wotbj.bak (472 байта)

Минимальный скрипт Node.js. Необфусцированный и полностью читаемый. Он никогда не сохраняется на диск. Его основная цель — прочитать файл, содержащий полезную нагрузку второго этапа (в данном примере «tQqoxkAJFhqWtg5.xml»), расшифровать его с помощью жестко запрограммированного ключа и вектора инициализации (IV) и выполнить его в памяти с помощью «module._compile()»

Учетные данные AES-256-CBC из примера:

Ключ: F4J/454U+W0+8y7L+L9MxSY15rB0KoSeQkPauifCTiQ=

Упрощенный график этапа 1 (ссылка на подробный)

Файл: tQqoxkAJFhqWtg5.xml (2 096 байт в зашифрованном виде)

Расшифровано и выполнено в памяти этапом 1. Это промежуточный этап, который расшифровывает содержимое запутываемого полезного груза этапа 3 (0cZeeDPZMsxWtaK.cfg), записывает это содержимое в новый файл (4S3HKjraAP.cfg), а затем запускает его через node.exe, обернутый «conhost.exe –headless», что маскирует процесс в диспетчере задач под стандартный консольный хост. Кроме того, он обеспечивает сохранность через ключ «Run» реестра.

Ключ: m+wOc81aCEKfGEOpZsEr8WAN4O8mJnEoalp3LwZau0A=

Ключ: HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Имя: <6-байтовый случайный шестнадцатеричный код, генерируемый при каждой новой установке>

Данные: conhost.exe --headless 1FgUre\node.exe 4S3HKjraAP.cfg

Упрощенная схема этапа 2 (ссылка на подробную)

Файл: 0cZeeDPZMsxWtaK.cfg (зашифрованный) / 4S3HKjraAP.cfg (открытый текст, ~9,8 КБ)

Этап 3 представляет собой основную полезную нагрузку вредоносного ПО — файл JavaScript, который незаметно запускается в фоновом режиме при каждой загрузке системы. Он записывается на диск под случайно сгенерированным именем файла с неинформативным расширением, что делает обнаружение файлов на основе шаблонов ненадежным для различных дистрибутивов вредоносного ПО. Он запускается внутри conhost.exe, легитимного процесса Windows, поэтому не выделяется в диспетчере задач. Все строки внутри файла — включая адреса серверов и имена API — зашифрованы, что затрудняет статический анализ.

При запуске RAT сначала присваивает зараженному компьютеру постоянный идентификатор. Он считывает уникальный ID бота из скрытого файла на диске или генерирует новый, если файл еще не существует, и сохраняет его для использования во всех будущих коммуникациях. Он также вычисляет путь к рабочему каталогу, полученный из имени пользователя и имени компьютера, что делает этот путь уникальным на каждой системе жертвы.

Следующая задача RAT — выяснить, где находится его командно-контрольный сервер. Вместо того чтобы напрямую встраивать адрес сервера в код, который может быть заблокирован защитниками, злоумышленник сохраняет адрес в смарт-контракте Ethereum на блокчейне. RAT параллельно запрашивает девять публичных сервисов API Ethereum и выбирает ответ, который возвращает большинство из них — это делает поиск надежным, даже если некоторые сервисы временно недоступны. Поскольку адрес находится в блокчейне, его нельзя удалить путем блокировки домена или IP-адреса; злоумышленник может обновить его в любое время, отправив одну транзакцию. Независимо от всего остального, фоновый таймер повторно запускает этот поиск в блокчейне каждые пять минут, поэтому, если злоумышленник публикует новый адрес сервера, RAT автоматически переключается на него при следующей попытке связи без необходимости перезапуска.

Как только адрес C2 становится известен, RAT входит в цикл непрерывного опроса, повторно отправляя сигналы на сервер для проверки наличия новых команд. Каждый запрос построен так, чтобы напоминать обычный запрос браузера на статический веб-ресурс — URL-адрес содержит случайные шестнадцатеричные сегменты, случайно выбранное распространенное расширение файла (.png, .jpg, .gif, .css, .ico или .webp) и случайно выбранное имя параметра запроса. Хотя каждый сигнал выглядит по-разному для наблюдателя в сети, каждый из них также незаметно несет уникальный ID бота и идентификатор кампании, встроенный в сборку, что позволяет серверу злоумышленника распознавать и отслеживать каждую жертву индивидуально. RAT также отправляет свой собственный исходный код на сервер и получает в ответ свежую обфускацию, которой он перезаписывает себя на диске, фактически перешифровывая себя при каждом запуске, независимо от того, был ли он запущен из «.msi» или постоянного ключа реестра Run. Команды от злоумышленника поступают в виде кода JavaScript и выполняются непосредственно внутри запущенного процесса Node.js, что дает злоумышленнику полный доступ к файловой системе, возможность запускать любые команды ОС и возможность выводить данные — и все это без сохранения традиционного исполняемого файла на диск.

Каждое действие, которое выполняет вредоносное ПО, например запуск, разрешение блокчейна, повторная обфускация, каждый запрос опроса, получение задачи, выполнение задачи, ошибки, обновления URL, записывается в %APPDATA%\\svchost.log, что позволяет сохранять полный операционный трассировку всего, что делает RAT.

Для всех проанализированных образцов запрашивались одни и те же 9 конечных точек для получения адреса C2 из контракта.

В более ранних версиях этого вредоносного ПО использовалось меньшее количество этапов с момента запуска до установления связи с C2, и они следовали одному и тому же шаблону расширений файлов: .msi -> .cmd -> .js -> обфусцированный файл без явного расширения. Кроме того, в самом старом образце, который удалось найти исследователю Atos, в логике RAT был жестко запрограммирован резервный IP-адрес C2 для использования в случае, если смарт-контракт не отвечает. Этот IP-адрес C2 совпадал с первым значением, установленным для смарт-контракта в этом самом старом образце (hxxp[://]135[.]125[.]255[.]55).

Упрощенная схема этапа 3 (ссылка на подробную)

Кампания реализует децентрализованную модель C2, которая не зависит от фиксированных доменов или серверов, контролируемых злоумышленниками. Вместо этого вредоносное ПО извлекает свой адрес C2 из блокчейна Ethereum. Каждый образец содержит адрес конкретного смарт-контракта Ethereum, который периодически запрашивается через несколько публичных сервисов RPC Ethereum. В данном контексте смарт-контракт — это небольшой фрагмент программной логики, хранящийся в блокчейне, который может хранить данные и возвращать их по запросу последовательным и проверяемым образом. Такая конструкция позволяет вносить изменения в централизованную систему C2 без модификации или повторного развертывания вредоносного ПО, что повышает устойчивость к попыткам удаления и внесения в черные списки.

Для целей данного объяснения мы использовали один из контрактов, используемых злоумышленниками (0xc12c8d8f9706244eca0acf04e880f10ff4e52522), и кошелек, с которого он финансировался (0x37ef6e88425613564b2cf8adc496acff4b6481a9).

Смарт-контракт, используемый для разрешения C2, реализован в виде механизма координации в цепочке и демонстрирует явные признаки оперативного использования в течение всего срока его существования. Его запись в блокчейне содержит определенный адрес контракта, фиксированную метку времени создания и последовательность транзакций, отправленных с течением времени. Наблюдаемая активность указывает на то, что экземпляр контракта активно используется в рамках более широкой и устойчивой архитектуры разрешения C2, даже несмотря на то, что отдельные смарт-контракты могут заменяться или чередоваться по мере развития кампании.

Контракт можно напрямую связать с кошельком Ethereum, который его развернул. Анализ активности кошелька показывает повторяющиеся взаимодействия с одним и тем же контрактом в течение периода его работы, что свидетельствует о том, что контроль над разрешением C2 осуществляется посредством транзакций блокчейна. Это подтверждает, что изменения в распределении C2 выполняются независимо от вредоносного ПО, уже развернутого на скомпрометированных системах.

Анализ истории транзакций контракта выявляет множество вызовов, изменяющих состояние, которые используются для обновления значений, хранящихся в цепочке. Каждое из этих обновлений соответствует изменению адреса C2, получаемого вредоносным ПО во время его регулярного цикла разрешения. В результате зараженные системы автоматически перенаправляются на новую бэкэнд-инфраструктуру без необходимости дополнительной доставки полезной нагрузки или локальных изменений конфигурации.

Список транзакций контракта Etherscan с выделенными повторяющимися вызовами, изменяющими состояние (Set String)

На уровне транзакций достаточно одной операции изменения состояния, чтобы перенаправить все активные заражения. Детальное исследование показывает, что одна операция записи в блокчейн, отправленная из кошелька оператора, изменяет состояние контракта и немедленно отражается в последующих попытках разрешения C2 со стороны вредоносного ПО. Это заменяет традиционные шаги управления инфраструктурой — такие как регистрация домена, обновления DNS или переразвертывание сервера — одной транзакцией в цепочке.

Подробный вид Etherscan одной транзакции, изменяющей состояние, включая временную метку, отправителя и входные данные

Закрепив разрешение C2 за состоянием блокчейна и осуществляя его через широко доступные публичные сервисы Ethereum, кампания переносит критическую зависимость своей инфраструктуры управления на децентрализованную сеть, спроектированную для высокой доступности. Это существенно ограничивает эффективность традиционных методов срыва, основанных на захвате доменов, блокировке IP-адресов или отключении серверов, и способствует общей устойчивости и долговечности операции.

Полный список обнаруженных вредоносных доменов, а также кошельков и контрактов для их распространения доступен для скачивания и просмотра в репозитории TRC на GitHub.

На момент написания этой статьи кампания по подделке административных утилит остается весьма активной и технически устойчивой угрозой для корпоративных сред. Наше исследование подтверждает, что это не просто кластер вредоносных программ, действующих по случаю, а более сложная операция, предназначенная для профилирования конкретных жертв. Имитируя специализированные утилиты, необходимые для управления инфраструктурой, злоумышленник «автоматизировал» обнаружение ИТ-персонала с высокими привилегиями, увеличивая вероятность того, что успешные заражения обеспечат немедленные пути для латерального перемещения в корпоративную среду.

Длительность кампании обусловлена двумя стратегическими факторами: двухэтапной архитектурой распространения через GitHub и интеграцией децентрализованного C2-решения на основе блокчейна. Использование SEO-оптимизированных «фасадных» репозиториев позволяет злоумышленникам оставаться на первых страницах поисковых систем, одновременно изолируя свои вредоносные нагрузки на вторичных аккаунтах, которые можно быстро менять. Кроме того, зависимость модуля EtherHiding от смарт-контрактов Ethereum создает инфраструктуру, которую особенно сложно ликвидировать.

Анализ вредоносного ПО, содержащегося в MSI-пакете, распространяемом в рамках этой кампании, позволяет идентифицировать его как EtherRAT — модульный бэкдор на Node.js, отличающийся высокой отказоустойчивостью модуля C2 «EtherHiding». Команда Sysdig Threat Research ранее связывала это вредоносное ПО с северокорейской группой Lazarus, спонсируемой государством. Они заметили значительное совпадение инструментов, использованных во время операций с применением EtherRAT и в рамках кампании «Contagious Interview».

Кроме того, в марте 2026 года подразделение по реагированию на угрозы (TRU) компании eSentire провело расследование веб-сервера с открытыми каталогами, который был отнесен к иранской группе MuddyWater (APT34), спонсируемой государством. В ходе расследования TRU обнаружила на этом сервере вредоносный файл, способный обеспечить постоянное присутствие в системе и развернуть вредоносное ПО ботнета Tsundere, которое также интегрирует логику C2-резолюции «EtherHiding». Их анализ зафиксировал обширные сходства в коде между EtherRAT и вредоносным ПО Tsundere.

Активный мониторинг Atos TRC подтверждает, что эта операция не является очередной кампанией по краже данных с высокой скоростью. В то время как стандартное вредоносное ПО часто ставит во главу угла немедленную экфильтрацию данных, эти злоумышленники демонстрируют упор на оперативное терпение и скрытность. После первоначального взлома мы зафиксировали переход к методичным действиям с клавиатуры, характеризующимся целенаправленным подходом к обнаружению среды.

Злоумышленник избегает агрессивного сканирования больших объемов данных, которое может вызвать поведенческие предупреждения, предпочитая вместо этого незаметное изучение для составления карты архитектуры сети с высокими привилегиями. Такой размеренный темп указывает на то, что основной целью является устойчивое присутствие и стратегический доступ, а не простое извлечение данных при удобном случае. Тщательно анализируя среду перед эскалацией своей активности, злоумышленники значительно увеличивают свои шансы остаться незамеченными в корпоративных сетях.

В соответствии с нашим стремлением к проактивной защите, Центр исследования угроз Atos инициировал официальные меры по ликвидации выявленной вредоносной схемы, чтобы нейтрализовать каналы распространения и подорвать операционную устойчивость кампании.

Для снижения рисков, связанных с кампанией по подделке административных утилит, организациям следует принять следующие защитные меры:

Ограничить доступ к децентрализованной инфраструктуре: заблокировать доступ к публичным конечным точкам RPC Ethereum (ETH), используемым EtherRAT, приведенным в разделе «Приложения». Эти шлюзы являются основным «сердцем» механизма децентрализованного разрешения C2.

Ретроспективный анализ коммуникаций: анализ исторических журналов с целью выявления любых исходящих коммуникаций с перечисленными конечными точками RPC ETH и историческими доменами C2, выявленными в ходе данного исследования.

Проверка происхождения инструментов и информированность администраторов: повышение осведомленности ИТ-персонала об использовании проверенных внутренних центров программного обеспечения или прямых, аутентифицированных порталов поставщиков для всех административных инструментов. Важно проинформировать администраторов о потенциальных рисках, связанных с поиском критически важных утилит в результатах поисковых систем.

Поиск угроз на основе поведения: в телеметрии организации следует анализировать следующие поведенческие паттерны:

повторяющиеся высокочастотные сигналы (каждые 500 мс) на подозрительные внешние домены

периодические исходящие запросы (каждые 30000 мс или 5 минут) к публичным конечным точкам ETH RPC

подозрительное дерево процессов: процессы node.exe, выполняющие команды оболочки, что может указывать на вторичные этапы работы полезной нагрузки EtherRAT

использование conhost.exe с аргументом --headless — распространенный признак попыток вредоносного ПО сохранить скрытое присутствие в фоновом режиме.

Полный список индикаторов компрометации (IoC), сопоставленных TTP и подробных графиков взаимосвязей вредоносного ПО для этой кампании доступен для скачивания и просмотра в репозитории TRC на GitHub.