Исследователи выявили связь между вредоносной программой EtherRAT и ботнетом Tsundere

Изначально EtherRAT был задокументирован как имплант на JavaScript, нацеленный на Linux-системы через уязвимость React2Shell (CVE-2025-55182). Однако текущее расследование показало, что злоумышленники адаптировали свою угрозу и для Windows. В частности, одна из вредоносных кампаний использовала архив "99 Nights Script.zip", содержащий файл "99 Nights Script Installer.msi". Название архива отсылает к популярному моду для игры Roblox, что является попыткой социальной инженерии, призванной заставить пользователей запустить вредоносный код. При выполнении MSI-файл создает в системе серию скриптов, которые в итоге расшифровывают и запускают основной полезную нагрузку (payload) EtherRAT.

Механизм заражения включает несколько этапов. Сначала исполняемый пакет создает в системной папке временные файлы, включая скрипт на языке JavaScript с обфускацией (запутыванием кода). Затем с помощью командного файла происходит загрузка среды выполнения Node.js, необходимая для запуска скрипта. Сам скрипт-дешифратор содержит методы противодействия анализу, такие как подавление вывода в консоль и обнаружение форматирования кода. После прохождения проверок скрипт расшифровывает основное тело вредоносной программы с использованием алгоритма AES-256-CBC и обеспечивает ее постоянное присутствие в системе (persistence) через добавление ключа в реестр Windows.

Ключевой особенностью EtherRAT является динамическое получение адресов командного сервера (C2, Command and Control). Вместо жестко заданных адресов вредоносная программа запрашивает их через смарт-контракты в сети Ethereum. Она отправляет запросы к девяти различным конечным точкам RPC и выбирает тот адрес C2, который встречается в ответах чаще всего. Для идентификации зараженной системы и хранения конфигурации EtherRAT генерирует уникальный путь на основе хеша имени компьютера и пользователя. Все это усложняет обнаружение и анализ угрозы.

В ходе дальнейшего исследования смарт-контрактов, связанных с EtherRAT, аналитики выявили дополнительные адреса и транзакции. Это позволило восстановить историю использования различных C2-серверов. Было обнаружено несколько IP-адресов и доменов, включая ресурсы, размещенные у российских хостинг-провайдеров, известных как "bulletproof", а также сервисы для отслеживания информации об устройствах. Более того, дата создания самого раннего из связанных контрактов (29 ноября 2025 года) предшествует публичному раскрытию уязвимости React2Shell. Это говорит о том, что инфраструктура для кампании готовилась заранее.

Наиболее значимым открытием стала установленная связь с ботнетом Tsundere. Этот ботнет, впервые описанный экспертами "Лаборатории Касперского", также использует смарт-контракты Ethereum для получения адресов управления. Аналитики ENKI обнаружили, что один из IP-адресов, используемых EtherRAT в качестве C2-сервера (91.215.85[.]42), также хостит панель управления ботнетом Tsundere под названием "Tsundere Reborn". Данная панель, в отличие от первоначальной версии, обладает расширенным функционалом, включая управление учетными записями "Работников", сканирование уязвимостей и генерацию вредоносных нагрузок для Linux, что указывает на расширение злоумышленниками целевого спектра.

Технический анализ смарт-контрактов выявил их структурное сходство. Хотя байт-коды контрактов, используемых Tsundere и EtherRAT, различаются, в них присутствуют функции с идентичными идентификаторами методов (Method ID), такие как getString и setString, что подтверждает общее происхождение или кооперацию разработчиков. Эксперты пришли к выводу, что, несмотря на недавнее обнаружение, угроза EtherRAT активно развивается. Злоумышленники целевым образом атакуют различные операционные системы, обновляют функциональность вредоносной программы и масштабируют свою блокчейн-инфраструктуру.

Для противодействия подобным угрозам специалисты по безопасности рекомендуют пользователям воздерживаться от загрузки и запуска файлов из непроверенных источников, особенно тех, что связаны с читами или модификациями игр. Командам безопасности в организациях необходимо наращивать потенциал по мониторингу индикаторов компрометации (IoC) и детектированию аномального сетевого трафика, связанного с обращениями к блокчейн-сетям. Постоянная эволюция тактик, техник и процедур (TTPs) злоумышленников требует столь же динамичного развития защитных мер.

URLs

• http://173.249.8.102/
• http://91.215.85.42:3000
• http://91.221.190.12
• https://api-gateway-prod.com
• https://api-gateway-softupdate.io
• https://gateway001kir.com
• https://grabify.link/SEFKGU
• https://grabify.link/SEFKGU?dry87932wydes/fdsgdsfdsjfkl
• https://jariosos.com

SHA256

• 1f715a97657a547e9eb55878bb0b946c3a2d43b6d467ca60e816853d4d727828
• 2de16fea5af78d5f1fdb8039efd7fb319d8e233cea8b4c20ea1f13ad380aea1d
• 4508a26a0a42966606cd59c558284e28e9e06b4db89fe0f8b50fd9599f4f73f1
• 606dd4d7b4f7755136f53ed442a1eebd1c36a671eaf91c494a1627788b64e819
• 81c3d0efb9da0dd0cd7b06e1692053fdf5561b916cb2502ccc4c31f997c352f8
• 926ee406adc542dc21a971d4112d958f91413222fd97d2ee0422ac0568a80aa9
• 9383c992abecdab53cc798940d296c0f8a5c0efe5ee8161d7c71a2dd23e374e2
• 98da27f6667782ac7e4b629cd8bc09b193635a109f8e521ea8e2fb7ce15c2ea1
• b8d9ef87b3a7a2cf2509317296baf127100a14838d03e1c158b0d5f17ec5b41b
• e38362aca79b16d588174e64a33cc688504c845d882624243fde90abd578bd7d
• e76867e7ec438165e2d629a0bfe2ae53f5320831cc1f8115b2a4f869f5240950

Wallet Address

• 0x69A91686482dE1dF123b91106CbdA763da034d4A
• 0xE941A9b283006F5163EE6B01c1f23AA5951c4C8D
• 0x233F7Ac7F307D2c781be66DA432CB865Efa804e0
• 0x6c0bdC011F31715C4FF537aa9c6a8A141F8a6119
• 0x14afdDD627Fb0e039365554f8bbDB881eCb1C708
• 0x434A2001adD7e414dA33612C4a8AEe745EA22968
• 0x4F1dD066b832AF641b5F08537a5b0fC0b329D5EC
• 0x2EB2Ec6026B63158042d27e8004957EC71783287
• 0xeA4337aa83496F0b91CDCdD8bf2734DF9eEF1774
• 0x6d4C034439F78cc19b4FEBdeC2c285D9B7D47e73
• 0xF1933D62F03F56579E8362402316CBF450d30116
• 0xF3947eeB5DB984E9498DA449c13305ed27428Bc0
• 0x69de85F382B7855c55df3092aE36BBf75eF1f6CD

Contract Address

• 0x22f96D61cF118efaBC7C5bF3384734FaD2f6eaD4
• 0x195ab0A6391E2c499321F67Ba36ED8f4bDc9F5f4
• 0x21F9a727E9668A3fC30393a344D8a3A98F4F3b8d
• 0x277852e1C349b03c79E348018a8391bD21C412E8
• 0x40A7d723F5Df6c88464bC95DBf7D96573fBc4f85
• 0x429929d8fe40D2deCf618C4A87721AC2a820bA78
• 0x47A397D9d459B05433f0d579e7842442b348eC38
• 0x6ef160dAC69c68461879c0C3486164aF07533d17
• 0x8a7c8497991dEa66910E70979a5961aEE347ff50
• 0x8B08cE78a284F26eEDfE2b9B52823F8c6ab3dC4A
• 0x97851AE6B1e2970C030Dd7d8F70d9832AcfB30fd
• 0xF1f3Ac96E49F6a71D031444E59268c27B3511914