Nexus RAT: новый C2-фреймворк с утечкой ключей и антипесочницей обнаружен в дикой природе

Обнаруженная панель управления работала на IP-адресе 192.253.248[.]13, размещённом в сингапурском сегменте сети провайдера Limited Network LTD. Анализ фронтенд-кода панели показал, что аутентификация осуществляется через базовый логин и пароль с выдачей сервером API-ключа. Этот ключ затем передаётся в каждом запросе в заголовке X-API-Key. При установке WebSocket-соединения ключ передаётся в строке запроса URL - то есть попадает в открытом виде в логи сервера. Подобная небрежность ставит под угрозу всех операторов системы.

В панели реализованы две роли: оператор и мастер (дистрибьютор). Мастер имеет доступ к аналитике, полному списку учётных данных, управлению чёрными списками и рассылке команд всем ботам. Для реального времени используется WebSocket с опросом через HTTP раз в четыре секунды и ping-пакетами каждые 2,5 секунды. Поддерживается многопользовательский режим: несколько операторов могут одновременно управлять одним хостом, а в терминале видны команды с указанием, кто их отправил.

Один из самых примечательных, хотя и сомнительных, элементов - механизм "антипесочницы". Панель делит хосты на две вкладки: "подтверждённо живые" и "мёртвые/Virustotal". Мёртвыми считаются машины, не появлявшиеся более 48 часов, а также системы с определёнными версиями Windows - 7, 10 Pro, 10 Enterprise. Логика проста: такие версии чаще используются аналитиками в изолированных средах. Исследование показало, что это осознанное решение для отсеивания "опасных" целей. Впрочем, эффективность такого подхода вызывает вопросы: злоумышленник просто теряет часть реальных жертв.

Функционал сбора учётных данных типичен для современных инфостилеров. Панель агрегирует пароли и куки из браузеров Chrome, Edge, Firefox, а также из Discord, Minecraft, Steam и Roblox. Для каждой записи указан источник в виде эмодзи: вулкан для Chrome, лисица для Firefox, тыква для Windows и так далее. Куки хранятся отдельно и доступны для "угонки сессий". Особняком стоит встроенная проверка аккаунтов Minecraft на сервере DonutSMP - по всей видимости, разработчик сам играет на этом проекте и включил соответствующую функцию.

Сборщик вредоносного кода (билдер) позволяет прямо из интерфейса скомпилировать исполняемый файл с настройками интервала маячка (от 1 до 3600 секунд), обфускацией через LLVM, подписью кода и опцией отключения антипесочницы. Последняя доступна только мастерам, что указывает на дистрибьюторскую модель: рядовые операторы получают билды, уже адаптированные для обхода анализа.

Среди команд удалённого управления - слежка (.ss, .webcam, .screenrec), кража учётных данных, закрепление в системе (.persist-deep с обходом UAC), деструктивные действия (.bsod, .earrape, .cursor-trap) и перехват буфера обмена для кражи криптовалют (.start-clipper). Для шифрования трафика используется WebSocket с передачей видео и аудио в реальном времени. Панель также умеет обновлять клиентов через PowerShell-команду, скачивая обновление из того же C2.

При анализе самого вредоносного исполняемого файла (Nexus RAT) исследователи обнаружили, что это 64-битный PE-образ со статически влинкованной SQLite 3.47.0. Имя домена C2 - nexusc2.works, User-Agent для каналов управления: nexus-client/1.0 и nexus-vnc/1.0. Вредонос использует два WebSocket-канала: командный и VNC, каждый со своим endpoint. Начальная регистрация происходит через HTTP-запрос /api/docok, затем устанавливается постоянное соединение.

Кейлоггер реализован через низкоуровневый хук WH_KEYBOARD_LL. Он захватывает каждое нажатие, переводит виртуальную клавишу в ASCII и накапливает в буфере. Команда .keylog-dump отсылает накопленный текст на сервер. Для кражи паролей из Chrome используется стандартный путь через DPAPI, но для обхода App-Bound Encryption (введённого в Chrome 127) встроен механизм инжекции вспомогательной DLL в процесс рендеринга браузера. Firefox расшифровывается через динамическую загрузку nss3.dll и вызов внутренних функций PK11. Копии паролей из Windows Credential Manager, Discord, Steam, Roblox собираются через чтение соответствующих файлов конфигурации.

Антианализ включает проверку наличия отладчика (IsDebuggerPresent через динамическое разрешение), перебор процессов (ollydbg.exe, windbg.exe, idaq.exe, x32dbg.exe, radare2.exe, wireshark.exe, procmon.exe и другие) и проверку файловых артефактов, характерных для песочниц (C:\Program Files\qemu, C:\vxcube, C:\analysis, C:\malware). Также проверяется реестр VMware по ключу VMCI. Строки, используемые для персистентности, обфусцированы XOR с ключом 0xED, но при этом секретный API-ключ оператора остаётся в открытом виде - вызывающая несообразность.

С помощью восстановления ключа удалось получить данные о 287 уникальных хостах, которые связывались с C2. География заражений: Россия (59,6%), США (15,7%), Сингапур (13,2%), Великобритания (2,1%), Испания (1,7%) и ещё 15 стран с малыми долями. Зафиксировано 9 IP-адресов операторов, в основном российских провайдеров Beeline и Smart Technology, а также два адреса через Microsoft Azure (вероятно, прокси). Активность в основном приходилась на 22-28 апреля 2026 года, лишь два оператора были замечены позже - 5 и 9 мая.

Создатель Nexus C2, не скрываясь, оставил ссылки на Telegram-канал @nexusc2v1 и Discord-сервер с 465 участниками. Оба сообщества открыты для всех желающих. Такая бравада удивляет на фоне того, что вредонос явно нацелен на реальные атаки, а не на игру. Несмотря на огромное количество технических огрехов (открытые ключи, слабая обфускация, откровенные следы разработки на VirusTotal), фреймворк уже собрал почти три сотни жертв. Очевидно, порог вхождения в написание вредоносного ПО снизился настолько, что даже некомпетентный код способен приносить результат. Для защитников это тревожный сигнал: количество новых, хоть и плохо написанных, угроз будет только расти.

IPv4

• 149.88.106.54
• 149.88.106.57
• 185.93.40.66
• 192.253.248.13
• 194.154.78.178
• 195.239.51.93
• 213.33.190.93
• 72.153.230.168
• 74.179.70.65
• 79.104.209.30

IPv4 Port Combinations

• 38.127.8.151:8084

Domains

• nexusc2.works
• wiki.nexusc2.works

SHA256

• 2d4609a6d82fed2e40443ae658ee470a4595c3bee392ac3640d533f56d194a6c