Специалисты по угрозам столкнулись с новой и сложной кампанией, использующей двухпроцессный загрузчик и ранее неизвестную панель управления командным сервером (C2), получившую название BORZ. Инцидент привлекает внимание не только нестандартными техническими приёмами, но и преднамеренным смешением географических и культурных маркеров, что серьёзно затрудняет первичную атрибуцию. Кампания нацелена на установку вредоносной программы, которая закрепляется в системе и подключается к ботнету, одновременно оставляя артефакт, отсылающий к иранской баллистической ракете "Хоррамшахр-4", активно применяемой в текущем региональном конфликте.
Описание
Ключевым элементом инфраструктуры злоумышленников является IP-адрес 94.232.46[.]16, на котором размещена панель управления BORZ. На момент обнаружения, 17 апреля 2026 года, панель и конечная точка загрузки вредоносной полезной нагрузки были недоступны, что может указывать на реакцию оператора на обнаружение или плановую ротацию инфраструктуры. Интересно, что автономная система AS48080, к которой принадлежит данный IP-адрес, зарегистрирована в Москве на частное лицо, однако её статус значится как неактивный, без объявленных префиксов. Такая конфигурация может свидетельствовать о скрытном транзите, манипуляциях с BGP-маршрутизацией или использовании "пуленепробиваемого" хостинга, что характерно для киберпреступных операций.
Анализ соседних IP-адресов в подсети 94.232.46[.]0/24 подтверждает криминальную репутацию этого блока: несколько адресов имеют десятки тысяч жалоб в AbuseIPDB, связанных с вредоносной активностью. Это указывает на долгую историю эксплуатации данной сетевой инфраструктуры для противоправных действий. Согласно отчёту, цепочка заражения начинается с двойного загрузчика. Первый процесс легитимно запускает приложение Slack, выступая в роли отвлекающего манёвра для пользователя и, возможно, систем мониторинга. Параллельно второй процесс загружает вторую стадию вредоносной программы с конечной точки "/dl" на том же сервере.
После выполнения полезная нагрузка предпринимает шаги для закрепления в системе (персистентности) и устанавливает соединение с командным сервером ботнета на нестандартных для такой активности портах: 27015 и 27016. Эти порты традиционно ассоциируются с игровыми серверами Valve Source Engine (например, для Counter-Strike). Их использование злоумышленниками - известная тактика, которая позволяет маскировать трафик ботнета под легитимный игровой, уклоняясь от обнаружения на сетевом уровне, или использовать механизмы игровых серверов для усиления DDoS-атак. Кроме того, программа оставляет в системе текстовый файл с сообщением "Khorramshahr-4 loaded". Упоминание современной иранской ракеты, активно применяемой Корпусом стражей исламской революции (КСИР), сразу привлекло внимание аналитиков.
Однако детальный анализ показывает крайне противоречивую картину для атрибуции. Название панели управления BORZ означает "волк" на чеченском языке. Инфраструктура размещена в России. При этом артефакт отсылает к иранскому вооружению, а в качестве приманки используется популярный в корпоративной среде мессенджер Slack. Подобное нагромождение маркеров из трёх различных геополитических сфер нехарактерно для известных иранских APT-групп (продвинутых долгосрочных угроз), которые обычно используют инфраструктуру у конкретных хостинг-провайдеров, предпочитают Telegram для командования и оставляют артефакты на фарси. Отсутствие совпадений с известными семействами вредоносных программ и панелями управления указывает либо на совершенно нового актора, либо на приватный инструментарий.
Эксперты сходятся во мнении, что наиболее вероятным сценарием является операция под ложным флагом или деятельность хактивистской группы, намеренно создающей путаницу в атрибуции. Целью может быть как демонстрация поддержки Ирана на фоне текущих событий, так и просто провокация и запутывание следов киберпреступников, управляющих ботнетом для DDoS-атак или других целей. Использование названия действующей ракеты может быть попыткой усилить психологический эффект от атаки, внушая жертве ощущение причастности к более серьёзному государственному конфликту.
С практической точки зрения данная кампания напоминает специалистам по информационной безопасности о важности мониторинга не только явно подозрительных, но и легитимных процессов, которые могут использоваться как прикрытие. Запуск обычного приложения одновременно с сетевой активностью на нестандартные порты должен вызывать вопросы. Хотя конкретная панель BORZ сейчас неактивна, высока вероятность, что операторы возобновят деятельность с нового адреса, возможно, в той же злоупотребляемой подсети. Рекомендуется добавить указанные индикаторы компрометации в системы мониторинга и обращать внимание на аномальные соединения на порты, обычно связанные с игровыми сервисами, в корпоративных сетях, где такая активность не ожидается.
Индикаторы компрометации
IPv4
- 94.232.46.16
- 94.232.46.20
- 94.232.46.202
IPv4 Port Combinations
- 94.232.46.16:27015
- 94.232.46.16:27016
- 94.232.46.16:8081
CIDRs
- 94.232.46.0/24
URLs
- http://94.232.46.16:8081/dl
- http://94.232.46.16:8081/login
