Эксперты по кибербезопасности из компании QiAnXin обнаружили новую целевую вредоносную программу, специально разработанную для пользователей Telegram в Китае и соседних регионах. Троянец, получивший название SetcodeRat, демонстрирует сложную многоступенчатую архитектуру и узкую географическую направленность.
Описание
По данным группы Red Raindrop Центра угроз QiAnXin, первая активность SetcodeRat зафиксирована в октябре 2025 года. Зловред распространяется преимущественно через SEO-отравление, когда злоумышленники манипулируют результатами поисковых систем. Интересно, что вредоносная программа проверяет языковые настройки системы и активируется только для китайскоязычных пользователей, включая материковый Китай, Тайвань, Гонконг и Макао.
Технический анализ показал сложную схему атаки. Изначально SetcodeRat маскируется под установочный пакет легального программного обеспечения. После запуска программа проверяет доступность китайских интернет-ресурсов, в частности API видеоплатформы Bilibili. Если проверка проходит успешно, троянец декомпрессирует вредоносную нагрузку используя пароль "RPNmUcoToJo5eR7AyHaQ".
Особенностью SetcodeRat является его двойной функционал. При обнаружении процесса Telegram.exe активируется модуль кражи криптовалюты. Он перехватывает сообщения с кошельками USDT в блокчейне Tron и подменяет адреса на контролируемые злоумышленниками. Дополнительно модуль может управлять прокси-настройками и удалять сообщения в мессенджере.
В других сценариях троянец работает как полнофункциональный бэкдор. Он выполняет удаленное администрирование, делает скриншоты, ведет клавиатурный шпионаж, собирает данные браузеров и системную информацию. Все данные передаются на командный сервер, адрес которого уникален для каждой жертвы и генерируется на основе UUID устройства.
Эксперты отмечают, что за месяц активность SetcodeRat затронула несколько сотен компьютеров в государственных и коммерческих организациях. При этом антивирусные продукты QiAnXin, включая движок "Six Harmonies", уже способны обнаруживать и блокировать данную угрозу.
Кибербезопасность Telegram остается актуальной проблемой, особенно в регионах с ограниченным доступом к мессенджеру. Атака демонстрирует растущую изощренность китайских хакерских групп, которые сочетают социальную инженерию с техническими инновациями. Пользователям рекомендуется проявлять осторожность при установке программного обеспечения из непроверенных источников и использовать современные средства защиты.
Индикаторы компрометации
IPv4 Port Combinations
- 118.107.45.42:443
- 38.45.122.162:443
Domains
- ndcwsww.com
- ssllndac.com
- xiongdaylf.com
- xionger.cc
MD5
- 2273578c084a5730c80e37be276ece90
- 773aae5bd834b3de00f97f2f47204eb6
