В январе 2026 года аналитики департамента Threat Intelligence экспертного центра безопасности Positive Technologies обнаружили и детально исследовали сложную вредоносную кампанию, направленную на организации в различных странах. Атака примечательна использованием обфусцированного кода на Node.js и нестандартным механизмом резервирования командного сервера через сервис именования в блокчейн-сети Solana (Solana Name Service, SNS). Это позволяет злоумышленникам гибко менять инфраструктуру, оставаясь незамеченными. Вредоносная активность, получившая внутреннее название HeartlessSoul, фиксируется с середины октября 2025 года и продолжается в настоящее время, что указывает на целенаправленный и устойчивый характер угрозы.
Описание
Вектор атаки и начальное заражение
Кампания следует классическому сценарию фишинга с вредоносными вложениями. Жертвы получают письма с темами, вызывающими доверие: «Предложение о сотрудничестве», «Коммерческое предложение» или, что особенно опасно для госструктур, «Приказ от командования». Во вложение злоумышленники упаковывают ZIP-архив, содержащий документ-приманку и исполняемый файл. Для доставки полезной нагрузки используются три формата файлов: XLL (библиотека Excel), LNK (ярлык Windows) и MSI (установочный пакет). Подобное разнообразие повышает шансы на успешное срабатывание, обходя простые фильтры по типам файлов.
Механизм работы для всех форматов схож. Например, при открытии XLL-файла запускается функция, которая декодирует и исполняет команду PowerShell, закодированную в формате Base64. Эта команда, в свою очередь, обращается к серверу злоумышленников для загрузки следующего этапа атаки. Анализ метаданных LNK-файлов, имеющих названия на русском и украинском языках («Приказ по соединению № 004_Гроза.docx.lnk», «Гуманитарка_для_подразделения.docx.lnk»), позволяет предположить географическую направленность атак на страны СНГ, однако индикаторы компрометации также были обнаружены в Мексике, Германии и США.
Многоступенчатый загрузчик с уникальным механизмом резервирования
Ключевой особенностью кампании является использование обфусцированного JavaScript-кода, работающего на платформе Node.js. Первый этап полезной нагрузки представляет собой загрузчик размером около 5 МБ, где внушительный объем объясняется статической компоновкой базовых модулей Node.js. Его задачи комплексны: обеспечить закрепление в системе, определить адрес командного сервера и загрузить основной модуль.
Для обеспечения постоянного присутствия в системе злоумышленники создают VBS-скрипт в профиле пользователя, ярлык в папке автозагрузки и запланированную задачу, которая запускается каждые 5 минут. Однако наиболее интересен механизм определения командного сервера. По умолчанию используется хардкодированный URL, но если в системе жертвы установлена переменная окружения "SNS_DOMAIN", загрузчик отправляет TXT-запрос к домену в сети Solana для получения альтернативного адреса. Это обеспечивает злоумышленникам гибкость и устойчивость инфраструктуры: в случае блокировки основного домена они могут быстро перенаправить трафик, обновив запись в блокчейне.
Мощный RAT с модульной архитектурой и широким функционалом
Основной модуль, также написанный на обфусцированном JavaScript, является полноценным трояном удаленного доступа (RAT, Remote Access Trojan) с обширным набором возможностей. После загрузки он устанавливает сокет-соединение с сервером на порт 40000 и начинает прослушивать команды. Всего вредонос поддерживает 17 различных операций, что делает его серьезным инструментом для шпионажа и диверсий.
Среди ключевых команд можно выделить сбор метаданных системы, создание скриншотов, кражу данных из Microsoft Outlook, выполнение произвольных PowerShell-скриптов (в том числе предустановленных), обход контроля учетных записей (UAC, User Account Control), запуск исполняемых файлов и бинарных модулей, а также управление файловой системой (листинг, удаление, запись). Отдельно реализована функциональность SOCKS5-прокси, позволяющая злоумышленникам использовать скомпрометированную систему в качестве плацдарма для атак на другие ресурсы внутри сети жертвы. Кроме того, модульная архитектура предполагает возможность загрузки дополнительных компонентов, таких как клиппер (перехватчик буфера обмена) и кейлоггер (регистратор нажатий клавиш), которые также подгружаются с серверов злоумышленников.
Анализ артефактов и возможное происхождение угрозы
Исследование кода и сопутствующей инфраструктуры выявило несколько любопытных деталей. Во-первых, в деобфусцированном коде встречаются комментарии на русском языке (например, «Проверяем через группу локальных администраторов»). Во-вторых, стиль некоторых комментариев с использованием эмодзи (🔍, ⚠️) и логические несоответствия в коде могут указывать на то, что часть скриптов была сгенерирована или доработана с помощью языковых моделей, подобных ChatGPT. Однако делать однозначные выводы о географической принадлежности группы на этом основании не стоит.
Серверная инфраструктура также демонстрирует тактику мимикрии. На одном из IP-адресов, используемых в атаке, также располагался домен "ozonwork[.]org", стилизованный под известный маркетплейс Ozon, что, вероятно, предназначено для сбора учетных данных пользователей. В HTML-коде этой фальшивой страницы был обнаружен комментарий на украинском языке, что дополнительно усложняет картину и может быть ложным флагом.
Рекомендации по защите
Обнаруженная кампания HeartlessSoul демонстрирует растущую тенденцию к использованию легитимных технологий (Node.js, блокчейн) в злонамеренных целях, что усложняет детектирование. Для защиты от подобных угроз организациям рекомендуется усилить меры на нескольких уровнях.
На периметре и на почтовых шлюзах необходимо внедрить строгую фильтрацию вложений, особенно архивов и файлов нестандартных форматов (XLL, LNK, MSI). Важно регулярно обучать сотрудников распознаванию фишинговых писем, обращая внимание на контекст и неожиданные вложения даже от, казалось бы, знакомых тем. На уровне конечных точек следует применять политики ограничения выполнения скриптов, например, с помощью AppLocker или аналогичных решений, запрещая запуск PowerShell и JavaScript из временных каталогов пользователей. Мониторинг сетевой активности на предмет необычных исходящих соединений, особенно на нестандартные порты (например, 40000), а также запросов к доменам в блокчейн-сетях, может помочь в раннем обнаружении инцидента. Наконец, поддержание актуальности сигнатур в системах антивирусной защиты и EDR (Endpoint Detection and Response, системы обнаружения и реагирования на конечных точках) с учетом публикуемых индикаторов компрометации остается обязательной базовой практикой.
Атака HeartlessSoul служит напоминанием, что современные угрозы становятся все более изощренными, комбинируя социальную инженерию, сложную техническую реализацию и устойчивую инфраструктуру. Понимание их механизмов позволяет не только эффективно противостоять конкретной кампании, но и выстраивать более надежную оборону против атак будущего.
Индикаторы компрометации
Domains
- *.kyun.li
- codeinecrazy.xyz
- landownerdozenguard.com
- newfolder.click
- ozonjob.org
- ozonwork.org
- playerdragonbike.com
- sharecodepro.com
- w2li.xyz
- w2link.xyz
- w2socks.xyz
- weaplink.com
- wsconnection.xyz
- wv3link.com
- wv3pub.com
SHA256
- 3d3fd2af8e5efdcc3ab8d8b50200c89e6a31bf42e19a3d1bac5f9fb51dabac46
- 6ac78281275c1770245b28de04542383a51b0702d7f0cb380dfd043806b975d3
- 8f50ad1027bbe999313bd6b9cf690f5dcafdd926a3e7ebdf7b82c80cec95c511
- ae4fd0d67b40c5b680a6c481a1d2486893c16b067680bb3d604ac8272f16570c
- b9cb3dba8a536eb41c9fee7d243640dc0ec3cd5a7e80eb4855467d0acbf7af5e
- c0ddf84e29374cd53ff4a44ff50e88e1b663fae404bc1a5200bbac38c8d1df36
- d8498dafcd22923116bba133be9969c467953acbf3c04b365c4b725bfa590061
- da51169b370f6cc1cc10ce54fd4756276e53b57b2687f23176e793f6f6ef66c4
- e59b01f23bea63893707542ef15b3e092928b52254a7134924e5a5cb6407e6e2
- ff690b11f7b2fbcf1f3abd217476b9fa6830cc380cb5607af2d0ec4e5a345208
