В марте 2026 года исследовательский центр Atos Threat Research Center (TRC) выявил сложную вредоносную кампанию, нацеленную исключительно на корпоративных администраторов, инженеров DevOps и специалистов по информационной безопасности. Злоумышленники применяют отравление поисковой выдачи (SEO-poisoning) в системах Bing, Yahoo, DuckDuckGo и Yandex, чтобы вывести на первые места поддельные репозитории GitHub. Эти репозитории маскируются под популярные утилиты для администрирования - от системных диагностических инструментов до средств удалённого доступа. Главная цель кампании - компрометация учётных записей с высокими привилегиями и закрепление внутри корпоративных сетей.
Описание
Архитектура доставки вредоносного кода построена по двухступенчатой схеме. На первой стадии жертва попадает на "фасадный" репозиторий, который не содержит ничего вредоносного - только профессионально оформленный README-файл со ссылкой на второй репозиторий. Atos TRC в отчёте поясняет, что такая конструкция позволяет сохранять высокое место в поисковой выдаче даже после блокировки основного дистрибутивного аккаунта. Если второй репозиторий удаляется, злоумышленники просто обновляют ссылку в README, и цепочка распространения восстанавливается. С декабря 2025 года по начало апреля 2026 года они развернули 44 таких фасада, каждый под видом определённого административного инструмента.
Выбор инструментов для подделки неслучаен. Список включает ProcDump, Sysmon, TCPView, AzCopy, SecureCRT, LAPS и многие другие утилиты, которые практически не используются обычными пользователями. Каждый успешный запуск вредоносного MSI-установщика гарантированно попадает на рабочую станцию человека с расширенными правами, что создаёт "эффект ключей к королевству". Исследователи подчёркивают психологический аспект: многие из этих инструментов сами являются средствами защиты и диагностики, поэтому у администратора не возникает подозрений при их установке.
Техническая начинка кампании - многокомпонентный троян удалённого доступа EtherRAT, написанный на JavaScript. После запуска MSI-установщик распаковывает четыре файла. Сценарий CMD, запускаемый через CustomAction, загружает Node.js с официального сайта nodejs.org, распаковывает его и запускает цепочку скриптов. Ключевая инновация - механизм децентрализованного разрешения C2-адресов. Вместо жёстко прописанного сервера троян через регулярные интервалы (каждые 5 минут) обращается к смарт-контракту в сети Ethereum, используя девять публичных RPC-шлюзов. Смарт-контракт хранит текущий адрес командного сервера. Операторы могут изменить его одной транзакцией, и все заражённые машины автоматически переключаются на новый адрес при следующем запросе. Это делает традиционные методы блокировки - по домену, IP или даже по взятию под контроль инфраструктуры - практически бесполезными.
Сам троян работает в памяти, используя Node.js как среду выполнения. Он создаёт уникальный идентификатор для каждой машины, сохраняет его в скрытом файле и начинает опрос командного сервера. Каждый запрос маскируется под обычный браузерный запрос к статическому ресурсу - пути содержат случайные hex-строки и расширения вроде .png, .jpg или .css. При каждом запуске троян отправляет свой собственный код на сервер и получает назад свежезашифрованную версию, то есть перезаписывает себя - это затрудняет сигнатурное обнаружение. Команды приходят в виде JavaScript-кода и выполняются прямо внутри процесса Node.js, давая злоумышленникам полный контроль над файловой системой и возможность выполнять любые команды ОС.
Последствия успешной инфекции крайне серьёзны. После закрепления в системе (через ключ реестра Run) троян переходит к методичному разведыванию сети. Исследователи отмечают, что атакующие избегают агрессивного сканирования, которое могло бы вызвать срабатывание поведенческих детекторов. Вместо этого они действуют тихо, собирая информацию о структуре сети и привилегированных учётных записях. Такая стратегия позволяет оставаться незамеченными в течение длительного времени.
Кампания продолжает оставаться активной. Atos TRC уже инициировал процедуры по блокировке выявленных репозиториев и доменов, однако из-за архитектуры фасадов и блокчейн-базовой C2-инфраструктуры полная нейтрализация затруднена. Интересно, что аналогичные приёмы - использование смарт-контрактов Ethereum для разрешения C2 - ранее фиксировались в операциях северокорейской группы Lazarus (кампания Contagious Interview) и иранской MuddyWater при распространении ботнета Tsundere. Это может указывать на общий инструментарий или на перекрёстное заимствование техник. Эксперты рекомендуют компаниям ограничить доступ к публичным RPC-шлюзам Ethereum, проверять происхождение всех административных утилит и внедрять поведенческую охоту за аномальными обращениями к блокчейн-инфраструктуре.
Индикаторы компрометации
Domains
- mastluner.club
URLs
- http://135.125.255.55
- http://173.249.8.102
- http://173.249.8.102/
- http://193.233.126.94
- http://91.215.85.42:3000
- http://91.221.190.12
- http://jariosos.com/
- https://5ppljcs.microsoft.com
- https://9jaarenaxtra.com
- https://aabstone.com
- https://advocacy.microsoft.com
- https://ahdaratlegalservices.com
- https://ameenafshin.com
- https://api-gateway-prod.com
- https://api-gateway-softupdate.io
- https://apparatus-contributions-understood-accommodation.trycloudflare.com
- https://appstartlabs.com
- https://aurineuroth.com
- https://bdstop.net
- https://bermanlawrsk.com
- https://cerumo.shop
- https://chjunhao.com
- https://dealing-economics-enrollment-firms.trycloudflare.com
- https://depot-reunion-listings-targets.trycloudflare.com
- https://dreambigworkharddomore.com
- https://egyptinfo.shop
- https://eth.drpc.org
- https://eth.llamarpc.com
- https://eth.merkle.io
- https://ethereum-rpc.publicnode.com
- https://eth-mainnet.public.blastapi.io
- https://euclidrent.com
- https://extended-king-tone-polar.trycloudflare.com
- https://fastgamesltd.club
- https://fluxnet.life
- https://gateway001kir.com
- https://github.com/adexplore/Kusto.Explorer
- https://github.com/adkcore/Windows-ADK
- https://github.com/applck/AppLocker
- https://github.com/autify5/Autologon
- https://github.com/azpath/AzCopy
- https://github.com/bartuser/BarTender
- https://github.com/beycmp/Beyond-Compare
- https://github.com/bvclient/Bitvise-SSH-Client
- https://github.com/corelaun/Autoruns
- https://github.com/cpumon/Process-Monitor
- https://github.com/damekit/Dameware
- https://github.com/dbgrix/DebugView
- https://github.com/delprof2int/Delprof2
- https://github.com/desklt/LEAP-Desktop
- https://github.com/enssm/NSSM
- https://github.com/fsgrid/FSLogix
- https://github.com/glyph3/ScreenConnect-Client
- https://github.com/iiscfg/IIS-Crypto
- https://github.com/kdiffmg/KDiff3
- https://github.com/lapwiz/Windows-LAPS
- https://github.com/migrtool/PCmover
- https://github.com/paperdesk/PaperPort
- https://github.com/procbyte/ProcDump
- https://github.com/prtgmon/PRTG-Network-Monitor
- https://github.com/psanvil/PsTools
- https://github.com/psexsrv/PsExec
- https://github.com/pwmover/Profwiz
- https://github.com/pxmon/Process-Explorer
- https://github.com/reqdbg/HTTP-Debugger
- https://github.com/rsamod/RSAT
- https://github.com/safcli/Safenet-Authentication-Client
- https://github.com/sputmgr/SuperPuTTY
- https://github.com/sshcrt/SecureCRT
- https://github.com/symdbg/WinDbg
- https://github.com/syshield/Sysmon
- https://github.com/sysramap/RAMMap
- https://github.com/tcpvmon/TCPView
- https://github.com/teracli/Tera-Term
- https://github.com/vhdcore/Disk2vhd
- https://github.com/vmlets/VMware-Tools
- https://github.com/winlabel/BgInfo
- https://github.com/xferwiz/Transwiz
- https://grabify.link/SEFKGU
- https://grabify.link/SEFKGU?dry87932wydes/fdsgdsfdsjfkl
- https://hayesmed.com
- https://imported-spread-amplifier-chemicals.trycloudflare.com
- https://jariosos.com
- https://johnguava.com
- https://justtalken.com
- https://lepaniermagic.com
- https://logevents.club
- https://luminer.work
- https://mainnet.gateway.tenderly.co
- https://mastluner.club
- https://mbml-writer-info.info
- https://mebeliotmasiv.com
- https://microsoft-tools.com
- https://millersteel.digital
- https://mmdis-worls.com
- https://mymexico.socia
- https://mymexico.social
- https://mymexico.social/
- https://okhash.org
- https://o-parana.com
- https://palshona.com
- https://permission-resident-lots-ebooks.trycloudflare.com
- https://peterson-assets-visible-secrets.trycloudflare.com
- https://regancontrols.com
- https://rpc.flashbots.net/fast
- https://rpc.mevblocker.io
- https://rpc.payload.de
- https://salinasrent.com
- https://sistemablackatz.com
- https://sjrhs.org
- https://solidactivate.com
- https://sslgateway001.com
- https://terminal-labels-fan-witness.trycloudflare.com
- https://tokio-sallys.net
- https://twicegrand.com
- https://waygatterol002.com
- https://wpuadmin.shop
