В экосистеме киберпреступности продолжают нарастать масштабы автоматизации: исследователями обнаружены две полностью открытые панели управления (билдеры) под названием GoLoader, которые без какой-либо аутентификации генерируют полиморфные вредоносные программы для Windows. На момент анализа системы произвели почти полмиллиона уникальных образцов, что делает традиционные методы защиты, основанные на сигнатурах, практически бесполезными. Особенностью данной операции является её целевая направленность - все социальные инженерные приманки выполнены на упрощённом китайском языке и ориентированы на инвесторов в криптовалюты, а технический анализ позволил связать эту активность с ранее известной инфраструктурой для распространения троянов XWorm и njRAT.
Описание
Инцидент начался с поступления информации о подозрительном сервере. Последующее расследование выявило две панели, размещённые в Гонконге и работающие на порту 8081. GoLoader представляет собой инструмент для сборки, написанный на языке Go, который автоматизирует создание полиморфного вредоносного кода. Интерфейс панели выполнен на упрощённом китайском с использованием шрифта Microsoft YaHei, а версия обозначена как v2.1 от 12 января 2026 года. Критической уязвимостью стала полное отсутствие какой-либо аутентификации на обеих панелях. Каждый API-эндпоинт, включая интерфейсы для управления задачами генерации и, что наиболее опасно, для получения учётных данных облачного хранилища, был открыт для доступа извне. Это позволило исследователям не только изучить внутреннюю кухню операции, но и получить полный доступ к её ресурсам.
В общей сложности на двух панелях выполнялось 71 активная задача, которые к 20 апреля 2026 года сгенерировали 468 349 уникальных полиморфных образцов. Первая панель фокусировалась на создании VBS-дропперов, загружающих полезную нагрузку из стеганографических PNG-изображений, и произвела 391 812 уникальных VBS-скриптов. Вторая генерировала автономные EXE-файлы из текстовых файлов в кодировке base64, создав 76 844 образца. Через открытый API-эндпоинт "/api/oss/get" были получены учётные данные для сервиса объектного хранилища Alibaba Cloud OSS, которые использовались обеими панелями, что подтвердило единого оператора за всей этой активностью. В отчёте исследователей подробно описано, как эти данные привели к публично доступному бакету в гонконгском регионе облака Alibaba.
Облачное хранилище под названием "jpginfo", на которое указывали полученные учётные данные, также было сконфигурировано с нарушением базовых правил безопасности - в нём был включён публичный листинг файлов. Его полная инвентаризация выявила 652 файла общим объёмом 867 мегабайт. Среди них - 152 исполняемых файла (.NET RAT и Go-бинарники), 133 текстовых файла с полезной нагрузкой в base64, 106 полиморфных VBS-дропперов, 93 PNG-файла, служащих стеганографическими контейнерами, и 104 JPG-изображения, которые являются социальными инженерными приманками. Последние содержат скриншоты, связанные с инвестициями в криптовалюту, записи транзакций USDT и другие материалы на китайском языке, предназначенные для того, чтобы убедить жертву в легитимности файла, в то время как на заднем плане выполняется вредоносный код.
Технический анализ позволил восстановить полную цепочку компрометации (kill chain), состоящую из пяти этапов. Доставка начинается с файла ярлыка Windows (LNK), который при открытии запускает PowerShell для загрузки и выполнения полиморфного VBS-дроппера. Этот дроппер, уникальный для каждой жертвы благодаря встроенному генератору мусорного кода, обеспечивает своё закрепление в системе (persistence) и с помощью WMI инициирует загрузку стеганографического PNG-файла из облачного хранилища. Полезная нагрузка скрыта в таких файлах после JPEG-маркера конца файла (FF D9), что делает её невидимой для обычных просмотрщиков изображений. После извлечения и декодирования запускается .NET-загрузчик, условно названный "Fiber", который использует технику "опустошения процесса" (process hollowing). Он внедряет финальную стадию вредоноса - трояна типа njRAT - в легитимный процесс подписанного Microsoft файла RegAsm.exe, что значительно затрудняет обнаружение.
Наибольшие сложности в анализе вызвала финальная стадия. Образец njRAT использовал нестандартную схему шифрования конфигурации с помощью AES-256. Исследователям пришлось провести глубокий статический анализ .NET-сборки, полностью на Python в Linux-окружении, чтобы понять алгоритм. Ключевым открытием стало то, что в качестве пароля для расшифровки использовалось не ожидаемое поле "KEY" из настроек, а строка из поля "Mutex". После корректного определения алгоритма ключевого производного пути конфигурация была успешно расшифрована, раскрыв адрес командно-административного сервера (C2, Command and Control): laohe1[.]myvnc[.]com на порту 5000.
Дальнейшее расследование инфраструктуры выявило целый кластер из шести динамических DNS-доменов под общим пространством имён myvnc[.]com и управляемых под псевдонимом "laohe" (老何 - "Старый Хэ", где Хэ - распространённая китайская фамилия). Три узла из этого кластера уже были известны сообществу по безопасности как инфраструктура, связанная с другим троянцем - XWorm. Это указывает на то, что один оператор одновременно поддерживает несколько семейств вредоносных программ (njRAT и XWorm) на общей инфраструктуре, преимущественно размещённой в Гонконге. Совокупность доказательств - китайскоязычный интерфейс панели, тематика приманок, псевдоним оператора и геолокация серверов - с умеренной уверенностью указывает на китаеязычного злоумышленника, целенаправленно атакующего криптоинвесторов.
Данный инцидент наглядно демонстрирует эволюцию угроз: доступность мощных автоматизированных инструментов для сборки полиморфного кода в сочетании с критическими ошибками конфигурации на стороне самих злоумышленников создаёт одновременно и повышенную опасность, и новые возможности для исследователей. Обнаружение открытых панелей управления и облачных хранилищ позволяет не только изучать тактики и техники противника, но и проактивно изымать элементы их инфраструктуры, нарушая цикл атак. Для специалистов по безопасности этот случай служит напоминанием о важности контроля за исходящим сетевым трафиком, анализа поведения процессов (особенно с использованием легитимных инструментов вроде RegAsm.exe) и обучения пользователей, поскольку даже самая сложная цепочка атаки часто начинается с простого открытия вложенного файла.
Индикаторы компрометации
IPv4
- 103.12.149.109
- 112.213.106.102
- 112.213.110.204
- 151.242.152.198
- 151.243.95.4
- 192.252.187.42
- 45.64.52.170
IPv4 Port Combinations
- 118.107.6.148:8081
- 121.127.246.86:8081
- 45.64.52.170:5000
Domains
- c.fi3.me
- jpginfo.oss-cn-hongkong.aliyuncs.com
- laohe.myvnc.com
- laohe1.myvnc.com
- laohe2.myvnc.com
- laohe3.myvnc.com
- laohe4.myvnc.com
- laohe5.myvnc.com
URLs
- http://151.242.152.198/0.p.txt
SHA256
- 01e294c52ddfdf020f27bc8087cd0cba195c086b5c813ee6cd56dde3ba04c0ef
- 41f5cf259dcbd2f11f9e3ba7e69aa9321f779bdbec565f1c5a0ede228c6fa793
- 47e0b431759b881b2928d6944990107dfce28db982b1641eb410e75c0b0a3003
- cd211c0f3bea9f37bea80d2cf0574348b3ae37b8008967e2d30bd0f9cabbd540
- ff78ce69e42cdd4f4afe1b1e28eab1edf794473de3fc53fa92cf269e2b790c12
- ff9dfa375086a0aa129ceda98f6cdefb4eef56ee044c013e6f8119c29ff56eaa
