Киберпреступники используют смарт-контракты Ethereum для управления ботнетом Tsundere

Исследователи установили связь между Tsundere и более ранней кампанией октября 2024 года, когда злоумышленники распространяли вредоносные пакеты Node.js через официальный реестр npm. Тогда преступники использовали технику typosquatting, создавая пакеты с названиями, похожими на популярные библиотеки Puppeteer, Bignum.js и криптовалютные пакеты. Было идентифицировано 287 вредоносных пакетов, атаковавших пользователей Windows, Linux и macOS, однако после обнаружения злоумышленники прекратили эту кампанию.

В июле 2025 года та же группа возобновила активность с усовершенствованным ботнетом Tsundere. Название происходит от панели управления командным сервером. На текущий момент точные векторы распространения не установлены, но зафиксированы случаи заражения через инструменты удаленного управления RMM, а также через поддельные установщики популярных игр, таких как Valorant, CS2 и Rainbow Six Siege.

Зловред использует два основных формата распространения: MSI-установщик и PowerShell-скрипт. MSI-установщик маскируется под инсталляторы игр и имеет крайне низкий процент обнаружения антивирусными решениями. Он содержит запакованные Node.js файлы и скрипты, которые запускаются скрытно через PowerShell. PowerShell-версия работает более компактно, самостоятельно загружая Node.js с официального сайта и развертывая вредоносную функциональность.

Особенностью Tsundere является сложная система обеспечения устойчивости. Бот использует менеджер процессов pm2 для постоянной активности и регистрирует себя в реестре Windows для автоматического запуска при входе в систему. Основная нагрузка (payload) расшифровывается с помощью алгоритма AES-256-CBC с уникальными для каждой сборки ключами.

Наиболее инновационным аспектом ботнета стало использование смарт-контрактов Ethereum для хранения адресов командных серверов. Бот обращается к публичным RPC-провайдерам Ethereum, чтобы прочитать актуальный WebSocket-адрес C2 из переменной смарт-контракта. Это позволяет операторам быстро менять серверы управления, записывая новые адреса в блокчейн.

Коммуникация осуществляется через WebSocket с шифрованием AES. После установления соединения бот передает информацию о системе: MAC-адрес, объем памяти, данные о графическом процессоре и другие характеристики, которые используются для генерации уникального идентификатора. Для поддержания связи каждую минуту отправляются ping-сообщения.

Ботнет обладает опасной функциональностью выполнения динамического JavaScript-кода, получаемого от сервера. Это позволяет операторам адаптировать бот под различные задачи без изменения основной программы. Хотя во время наблюдения исследователи не зафиксировали конкретных команд, эта возможность представляет серьезную угрозу.

Инфраструктура включает панель управления "Tsundere Netto" версии 2.4.4 с открытой регистрацией. Панель содержит несколько разделов: дашборд для отслеживания ботов, настройки, систему сборки имплантов, маркетплейс для торговли ботами и функциональностью, Monero-кошелек и SOCKS-прокси. Одновременно онлайн находится от 90 до 115 зараженных систем.

Атрибуция указывает на русскоязычного Threat Actor под псевдонимом koneko, ранее рекламировавшего 123 Stealer и другие вредоносные программы. Анализ кода показывает использование русского языка, а инфраструктура ботнета разделяет серверы с панелью управления 123 Stealer.

Tsundere демонстрирует эволюцию подходов киберпреступников к созданию устойчивых ботнетов. Комбинация традиционных техник заражения с инновационным использованием блокчейн-технологий для управления инфраструктурой представляет серьезный вызов для специалистов по безопасности. Эксперты прогнозируют дальнейшее развитие этой угрозы и появление связанных с ней вредоносных программ в ближайшие месяцы.

MD5

• 235a93c7a4b79135e4d3c220f9313421
• 31231fd3f3a88a27b37ec9a23e92ebbc
• 5cc5381a1b4ac275d221ecc57b85f7c3
• 760b026edfe2546798cdc136d0a33834
• 7cf2fd60b6368fbac5517787ab798ea2
• 7e70530be2bffcfadec74de6dc282357
• 87ce512032a5d1422399566ece5e24cf
• 8d504ba5a434f392cc05ebe0ed42b586
• a7ed440bb7114fad21abfa2d4e3790a0
• ad885646daee05159902f32499713008
• b06845c9586dcc27edbe387eaae8853f
• bfd7642671a5788722d74d62d8647df9
• db06453806dacafdc7135f3b0dea4a8f
• e64527a9ff2caf0c2d90e2238262b59a
• e7af0705ba1ee2b6fbf5e619c3b2747e
• ffbde4340fc156089f968a3bd5aa7a57

WebSocket

• ws://185.28.119.179:1234
• ws://196.251.72.192:1234
• ws://103.246.145.201:1234
• ws://193.24.123.68:3011
• ws://62.60.226.179:3001

Cryptocurrency wallets

• 0x73625B6cdFECC81A4899D221C732E1f73e504a32
• 0x10ca9bE67D03917e9938a7c28601663B191E4413
• 0xEc99D2C797Db6E0eBD664128EfED9265fBE54579
• 0xf11Cb0578EA61e2EDB8a4a12c02E3eF26E80fc36
• 0xdb8e8B0ef3ea1105A6D84b27Fc0bAA9845C66FD7
• 0x10ca9bE67D03917e9938a7c28601663B191E4413
• 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84
• 0x46b0f9bA6F1fb89eb80347c92c9e91BDF1b9E8CC