Новий ботнет Tsundere, виявлений дослідниками «Лабораторії Касперського», демонструє наступний етап еволюції кіберзагроз: поєднання класичної малварі для Windows із Web3-інфраструктурою на базі смарт-контрактів Ethereum. Завдяки цьому зловмисники уникають традиційних методів блокування командних серверів, а жертви часто заражаються через фейкові інсталятори популярних онлайн-ігор.
Tsundere: географія атак та первинний вектор зараження
За поточними спостереженнями, активність ботнета Tsundere найбільш помітна в країнах Латинської Америки, передусім у Мексиці та Чилі. Малварь містить механізми для уникнення зараження систем у деяких країнах СНД, однак поодинокі інциденти вже зареєстровані в Росії та Казахстані. Така «геоселективність» часто свідчить про регіональні пріоритети операторів та особливості їхньої мотивації.
Основний вектор інфікування — підроблені інсталятори популярних онлайн-ігор, зокрема Valorant, CS2, R6x та інших проєктів. Користувачі завантажують «гру» зі сторонніх сайтів, трекерів або неофіційних збірок, але замість легітимного програмного забезпечення запускають інсталятор, що розгортає компонент Tsundere. Така схема поєднує соціальну інженерію та довіру до «безкоштовного контенту», що й надалі залишається одним із найефективніших прийомів кіберзлочинців.
Ланцюжок компрометації: MSI, PowerShell та JavaScript-бот
Дослідники виділяють два основних формати поширення імплантів Tsundere: MSI-інсталятори та PowerShell-скрипти. Обидва типи файлів генеруються автоматично, що спрощує масштабування кампанії та ускладнює сигнатурне виявлення.
Після запуску шкідливий модуль встановлює на систему жертви бот-компонент, який здатний безперервно виконувати JavaScript-код, що надходить із серверів управління (C2). Для комунікації використовується протокол WebSocket, який забезпечує постійне двонапрямлене з’єднання в режимі реального часу. Це дозволяє операторам динамічно змінювати сценарії атак, підвантажувати нові модулі, розгортати стилери, майнери або інші інструменти без повторного зараження системи.
C2-інфраструктура на Web3: смарт-контракти Ethereum замість доменів
Ключова відмінність Tsundere від більшості традиційних ботнетів — використання Web3-технологій та смарт-контрактів Ethereum для зберігання та оновлення конфігурації C2-серверів. Замість доменних імен або статичних IP-адрес зловмисники розміщують зашифрований конфігураційний блок безпосередньо в смарт-контракті.
Щоб змінити адресу командного сервера, оператор проводить транзакцію на 0 ETH, оновлюючи змінну стану контракту та записуючи новий WebSocket-ендпоінт. Інфіковані машини періодично звертаються до публічних RPC-вузлів Ethereum, відстежують відповідні транзакції та автоматично витягують актуальну конфігурацію C2. У разі блокування або відключення одного сервера ботнет швидко перемикається на резервні майданчики без участі користувача.
Чому блокчейн підвищує живучість ботнета
Використання блокчейна як елемента C2-інфраструктури робить мережу ботів надзвичайно стійкою до видалення та цензури. Дані в смарт-контракті неможливо «відкотити» або стерти заднім числом, а мережа Ethereum є децентралізованою та не контролюється єдиною організацією. Для захисників це означає, що традиційних підходів — блокування доменів, IP-адрес і хостингів — уже недостатньо.
Щоб виявити й нейтралізувати подібні ботнети, доводиться аналізувати блокчейн-активність, корелювати її з мережевими подіями всередині корпоративної інфраструктури та відстежувати звернення до підозрілих Web3- і RPC-ендпоінтів. Ця тенденція узгоджується з більш широким трендом, коли кіберзлочинці дедалі частіше використовують децентралізовані платформи як канал управління або розповсюдження шкідливого контенту.
Зв’язок з npm-кампаніями та стилером 123 Stealer
Інфраструктурний та кодовий аналіз показав, що Tsundere пов’язаний із кампанією, виявленою у жовтні 2024 року, коли зловмисники масово публікували шкідливі пакети для Node.js в офіційному репозиторії npm. Було ідентифіковано 287 пакетів, які використовували техніку typosquatting: назви відрізнялися на один-два символи від популярних бібліотек на кшталт Puppeteer та Bignum.js. Розробники, що помилково встановлювали такі залежності, інтегрували шкідливий код безпосередньо у свої проєкти.
Дослідження також виявило зв’язок Tsundere з 123 Stealer — стилером, який активно рекламується на хакерських форумах. Обидві загрози використовують схожі технічні прийоми, частково спільну інфраструктуру та асоціюються з користувачем під псевдонімом koneko, що позиціонує себе як «старший розробник node-зловредів». Це пояснює широкий спектр застосування JavaScript та Web3 у архітектурі ботнета Tsundere.
Походження операторів і спектр ризиків для користувачів
Лінгвістичні артефакти у коді та налаштування винятків для низки систем у регіоні СНД дозволяють з високою ймовірністю припустити, що розробники Tsundere є русномовними. Водночас повністю уникнути інфікувань у цьому регіоні їм не вдається, що підтверджують виявлені інциденти.
Функціонал ботнета універсальний: його можна використовувати для крадіжки облікових даних, розгортання додаткових модулів (зокрема стилерів і бекдорів), проведення DDoS-атак або прихованого майнінгу криптовалют. Особливо небезпечно те, що зараження здійснюється через фейкові інсталятори ігор та механізми, які у пересічних користувачів зазвичай не викликають підозр.
Практичні рекомендації: як захиститися від Web3-ботнетів на кшталт Tsundere
Щоб знизити ризики зараження подібними ботнетами для домашніх користувачів та організацій, доцільно дотримуватися таких заходів:
1. Завантажувати ігри та програмне забезпечення лише з офіційних сайтів розробників, великих магазинів та перевірених лаунчерів. Уникати піратських збірок, «репаків» та сумнівних торрент-ресурсів.
2. Перевіряти цифровий підпис інсталяторів, звертати увагу на видавця та наявність незвичних запитів привілеїв, особливо під час встановлення ігор, модів і «криптоінструментів».
3. У корпоративному середовищі обмежити або жорстко контролювати використання PowerShell, застосовувати принцип мінімально необхідних привілеїв та детальне журналювання виконуваних команд.
4. Використовувати сучасні засоби захисту, здатні виявляти аномальне використання WebSocket, PowerShell та MSI-інсталяторів, а також відстежувати звернення до підозрілих Web3- та RPC-ендпоінтів у мережі.
5. Розробникам варто уважно перевіряти назви пакетів у npm та інших репозиторіях, уникаючи встановлення залежностей з незначними відмінностями у написанні (typosquatting). За можливості — використовувати локальні дзеркала та lock-файли для фіксації перевірених версій бібліотек.
Tsundere наочно демонструє, як швидко кіберзлочинці адаптують нові технології — від Web3 до децентралізованих інфраструктур — для підвищення стійкості своїх ботнетів. Поєднання смарт-контрактів Ethereum із маскуванням під популярні ігри забезпечує постійний потік нових жертв і ускладнює роботу фахівців із безпеки. Щоб не опинитися в мережі такого ботнета, користувачам і компаніям варто регулярно переглядати політики безпеки, підвищувати рівень цифрової гігієни та стежити за тенденціями в галузі кіберзагроз, інтегруючи ці знання у свою щоденну практику.
