Любой желающий за 40 долларов и наличие видеоинструкции может развернуть полнофункционального похитителя данных, который крадёт пароли, делает снимки экрана, извлекает ключи Wi-Fi, собирает файлы, закрепляется в системе и предоставляет удалённый доступ. Всё это контролируется через обычного Telegram-бота. Такой инструмент, получивший название KeyCat, представляет собой написанный на Python много платформенный похититель информации, работающий как на Windows, так и на Linux. Его появление на публичном GitHub Gist в конце февраля 2026 года сразу привлекло внимание специалистов по информационной безопасности.
Описание
Самое тревожное в этой истории - не столько техническая сложность, сколько коммерциализация угрозы. KeyCat распространяется по модели "вредоносное ПО как услуга" (MaaS) и "похититель данных как услуга" (StaaS). Покупателю не нужно разбираться в программировании: достаточно изменить две константы в исходном коде - токен бота и идентификатор администратора - и получить собственную независимую инфраструктуру управления и контроля (C2), никак не связанную с первоначальным оператором. Это делает обнаружение на основе конкретных токенов бесполезным: каждый новый билд порождает уникальный канал связи.
Исследователи из компании Flare обнаружили исходный код KeyCat на GitHub Gist ещё 28 февраля 2026 года. Автоматический классификатор Flare присвоил находке высокий уровень угрозы, отметив, что это вредоносный Python-стилер, предназначенный для обеих операционных систем. Несмотря на то, что сам по себе код не отличается изощрённостью по сравнению с более сложными образцами, охват его возможностей внушает опасения. В течение нескольких недель после публикации исходник был скопирован и адаптирован как минимум в четырёх различных объявлениях в Telegram - от версий, нацеленных на пользователей из Туниса, до универсальных предложений за 40 долларов.
Технически KeyCat реализует девятиступенчатую цепочку атак, выполняемую автоматически за один запуск. На первом этапе срабатывают механизмы антианализа: если обнаружен отладчик Python, скрипт молча завершается. На Windows он прячет окно консоли, маскируется под процесс svchost.exe и запускает все последующие команды без видимых окон. На Linux он демонизируется, отсоединяется от терминала и переименовывает свой процесс в [kworker/0:0], имитируя поток ядра. После этого происходит настройка канала C2 - токен Telegram и идентификатор чата жёстко прописаны в коде.
Затем следует профилирование хоста: похититель отправляет оператору имя устройства, имя пользователя, локальный IP, версию ОС и процессор. На четвёртом этапе делается снимок экрана. На Windows используется библиотека ImageGrab, а при сбое - PowerShell-скрипт; на Linux похититель последовательно перебирает утилиты gnome-screenshot, import и scrot. Пятый этап - извлечение паролей Wi-Fi: на Windows через netsh, на Linux - чтение файлов NetworkManager. Шестой этап - дамп сохранённых учётных данных с помощью открытого инструмента LaZagne, который загружается из официального репозитория прямо на лету.
На седьмом этапе ведётся поиск конфиденциальных файлов: текстовые документы, PDF, офисные форматы, файлы ключей, VPN-конфигураций и менеджеров паролей. Всё собранное упаковывается в ZIP-архив и отправляется через Telegram sendDocument. После эксфильтрации локальные файлы удаляются. Завершающий этап - закрепление в системе: на Windows добавляется запись в реестр Run, на Linux - задание cron и запись в ~/.bashrc. Таким образом одноразовый запуск превращается в постоянное присутствие.
Особого внимания заслуживает модуль удалённого доступа (RAT), работающий через тот же токен бота. Он предоставляет оператору интерактивный доступ к скомпрометированному хосту: управление файлами, выполнение команд, получение скриншотов, включение веб-камеры и клавиатурного шпиона. И хотя исходный код RAT не обнаружен в базовом стилере, сообщения в канале C2 подтверждают его существование.
Инфраструктура доставки KeyCat демонстрирует характерную для современных киберпреступников гибкость. Основным хостингом для полезной нагрузки служит взломанный WordPress-сайт итальянского сельскохозяйственного предприятия. Файл stealer.py размещён в каталоге плагинов - типичный признак веб-шелла. Кроме того, оператор использует Pastebin, Ubuntu Paste и Limewire, постоянно меняя площадки для размещения кода. Встроенные арабскоязычные комментарии в исходнике указывают на то, что автор владеет арабским языком.
Коммерциализация угрозы прошла несколько этапов. В конце марта 2026 года появилась версия, нацеленная на Тунис: она рекламировалась как способ кражи данных из более чем дюжины местных банков и трёх кошельков. Затем, 7 апреля, другой оператор под псевдонимом CatCloud предложил исходный код KeyCat за 40 долларов вместе с видеоинструкцией. А уже 11 апреля появился аккаунт @keycatadmin, который перезапустил KeyCat как полноценную услугу StaaS - клиенты платят за результат (украденные данные), не управляя инфраструктурой. Это полностью устраняет технический барьер для входа на чёрный рынок.
Что это означает для специалистов по безопасности? Во-первых, сигнатурное обнаружение на основе токенов Telegram бесполезно против производных билдов. Единственная устойчивая защита - поведенческий анализ и мониторинг аномалий. Во-вторых, низкая цена и простота развёртывания приводят к массовому появлению мелких злоумышленников, которые ранее не могли позволить себе подобные инструменты. В-третьих, использование Telegram в качестве C2 и канала эксфильтрации затрудняет блокировку, так как этот мессенджер редко оказывается под запретом в корпоративных сетях.
KeyCat не является техническим прорывом - это скорее показательный пример того, как открытый исходный код и облачные сервисы превращают киберпреступность в доступный сервис. И если раньше для кражи данных требовались навыки программирования, то теперь достаточно 40 долларов и желания.
Индикаторы компрометации
URLs
- api.telegram.org/bot{TokenValue}/sendDocument
- api.telegram.org/bot{TokenValue}/sendMessage
- Github.com/AlessandroZ/LaZagne.git
- Github.com/AlessandroZ/LaZagne/releases/download/2.4.3/lazagne.exe
- keycat.x10.mx/Tunisia
- limewire.com/dE4Kfzx3bKk2Eefa
- pantaleoagricoltura.it/wp-content/plugins/stealer.py
- Pastebin.com/uiWhrkRn
- Pastebin.ubuntu.com/pzn6Gh6XKb/H/plain
Telegram Infrastructure
- Bot Token 8580574873:AAEpwGPFMGWBDnNfGxwd9XGtl44y0nnDdwk
- Admin Chat ID 6704703899
- StaaS Administrator Handle @keycatadmin