Исследователи «Лаборатории Касперского» выявили новый ботнет Tsundere, ориентированный на компрометацию устройств под управлением Windows. Злоумышленники распространяют вредоносное ПО под видом установщиков популярных игр и используют продвинутую инфраструктуру управления, основанную на Web3 и смарт-контрактах в блокчейне Ethereum. Такой подход заметно усложняет блокировку и ликвидацию ботнета традиционными методами.
Новый ботнет Tsundere и его география атак
На текущий момент атаки Tsundere зафиксированы преимущественно в странах Латинской Америки, в частности в Мексике и Чили. Технический анализ показывает, что малварь пытается избегать заражения систем в странах СНГ, однако отдельные инциденты уже обнаружены в России и Казахстане. Подобная селективность зачастую указывает на географические предпочтения операторов и особенности их мотивации.
Ботнет ориентирован на массовое заражение пользовательских систем: вредоносные файлы распространяются как поддельные инсталляторы популярных онлайн-игр, включая такие проекты, как Valorant, CS2 и R6x. Пользователь, полагая, что скачивает игру, на самом деле запускает установку вредоносного компонента Tsundere.
Цепочка заражения: MSI, PowerShell и JavaScript
По данным исследователей, применяются два основных формата распространения имплантов Tsundere: MSI-установщики и PowerShell-скрипты. Оба варианта генерируются автоматически и нацелены на то, чтобы максимально незаметно развернуть на системе пользователя бот-модуль.
После успешной инсталляции имплант загружает и запускает бота, который способен постоянно исполнять JavaScript-код, получаемый с управляющего сервера (C2). Для связи с инфраструктурой злоумышленников Tsundere использует протокол WebSocket, обеспечивающий двунаправленный канал обмена данными в режиме реального времени. Это позволяет операторам быстро менять логику атак, загружать новые модули и выполнять произвольные команды без повторного заражения.
Web3 и смарт-контракты Ethereum как основа C2-инфраструктуры
Ключевая особенность Tsundere — использование Web3-технологий и смарт-контрактов в сети Ethereum для хранения и обновления конфигурации командных серверов. Вместо традиционных доменных имен и статических IP-адресов операторы ботнета размещают зашифрованные конфигурации в смарт-контракте.
Для смены адреса C2 злоумышленники совершают транзакцию на 0 ETH, обновляя переменную состояния контракта и записывая новый WebSocket-адрес. Инфицированные боты периодически обращаются к публичным RPC-узлам Ethereum, отслеживают соответствующие транзакции и извлекают актуальный адрес управляющего сервера. Таким образом, даже при блокировке одного C2-сервера ботнет автоматически переключается на резервную инфраструктуру.
Почему блокчейн повышает живучесть ботнета
Использование блокчейна для управления ботнетом делает инфраструктуру более устойчивой к удалению и цензуре. Запись в смарт-контракте нельзя просто удалить или изменить задним числом, а сама сеть Ethereum децентрализована и не контролируется одной организацией. Для защитной стороны это означает, что привычные методы — блокировка доменов и IP — уже недостаточны, требуется анализ блокчейн-активности и корреляция с сетевыми событиями на стороне жертвы.
Связь Tsundere с вредоносными npm-пакетами и стилером 123 Stealer
Исследователи связывают Tsundere с кампанией, обнаруженной в октябре 2024 года, когда злоумышленники размещали вредоносные пакеты для Node.js в официальном репозитории npm. Тогда было выявлено 287 пакетов, использовавших технику тайпсквоттинга: названия отличались на один-два символа от популярных библиотек, таких как Puppeteer и Bignum.js. Разработчики, по ошибке устанавливавшие такие пакеты, невольно добавляли в свои проекты вредоносный код.
Анализ инфраструктуры показал, что Tsundere связан также с 123 Stealer — стилером, распространяемым на хакерских форумах. Обе угрозы используют общие технические элементы и инфраструктурные узлы и ассоциируются с пользователем под ником koneko, который позиционирует себя в даркнете как «старший разработчик node-зловредов». Наличие общего происхождения объясняет использование JavaScript и Web3 в архитектуре ботнета.
Предполагаемое происхождение и мотивация операторов
На основе анализа артефактов кода и используемых языковых конструкций эксперты с высокой вероятностью предполагают, что разработчики Tsundere являются русскоязычными. Настройка исключений для части систем в СНГ дополнительно подтверждает эту гипотезу, хотя полное исключение заражений в этом регионе не достигается.
С учетом наблюдаемой эволюции инструментария — от вредоносных npm-пакетов до полноценного Web3-ботнета — можно говорить о систематической работе над развитием криминальной экосистемы. Операторы, судя по всему, стремятся к максимальной автономности и гибкости инфраструктуры, снижая риски деанонимизации и потери контроля над ботнетом.
Риски для пользователей и практические рекомендации по защите
Tsundere представляет угрозу как для домашних пользователей, так и для организаций. Бот может использоваться для кражи данных, развертывания дополнительных модулей, проведения DDoS-атак или скрытого майнинга криптовалют. Особый риск связан с тем, что заражение происходит через поддельные установщики игр и механизмы, которые для многих кажутся безопасными.
Чтобы снизить вероятность заражения ботнетами, использующими подходы, аналогичные Tsundere, целесообразно:
1. Скачивать игры и ПО только с официальных сайтов разработчиков, крупных площадок и проверенных лаунчеров, избегая пиратских сборок и «репаков».
2. Проверять цифровую подпись инсталляторов и обращать внимание на необычные запросы прав, особенно при установке игр и модов.
3. Ограничить или контролировать использование PowerShell в корпоративной среде, применяя политику минимально необходимых привилегий и журналирование команд.
4. Использовать современное защитное ПО, способное детектировать аномальное использование WebSocket, PowerShell и MSI, а также отслеживать обращения к подозрительным Web3- и RPC-эндпоинтам.
5. Для разработчиков — внимательно проверять названия пакетов в npm и других репозиториях, чтобы избежать установки вредоносных зависимостей, созданных с помощью тайпсквоттинга.
Эволюция Tsundere демонстрирует, насколько быстро киберпреступники адаптируются к новым технологиям и меняющимся условиям. Переход к использованию Web3 и смарт-контрактов Ethereum делает инфраструктуру ботнета более гибкой и устойчивой, а маскировка под установщики популярных игр обеспечивает постоянный приток новых жертв. Чтобы противостоять подобным угрозам, пользователям и компаниям необходимо сочетать технологические средства защиты с цифровой гигиеной, регулярно отслеживать новые тенденции в киберугрозах и своевременно обновлять свои политики безопасности.
