Специалисты предупреждают о быстром распространении нового ботнета RCtea, нацеленного на IoT-устройства

Согласно отчету, подготовленному при значительном вкладе компании NSFOCUS из Пекина, семейство RCtea находится на этапе быстрого распространения и наращивания возможностей. Оно представляет серьезную угрозу из-за своей изощренной архитектуры и стойкости. В частности, ботнет использует глубоко кастомизированные схемы шифрования на основе алгоритмов RC4, ChaCha20 и их модификаций. Этот факт и лег в основу его названия.

Анализ распространения показал четкую целевую направленность. Все обнаруженные образцы вредоносного ПО скомпилированы для систем с архитектурами ARM и MIPS. Следовательно, атаки пока сосредоточены исключительно на IoT-оборудовании, а не на традиционных серверах или компьютерах. Для заражения новых устройств ботнет активно использует метод подбора паролей (brute-force) через протокол Telnet. После успешного взлома одного устройства встроенный в зловред модуль начинает сканирование сети и пытается получить доступ к другим аппаратам, используя список распространенных слабых учетных данных.

Разработчики RCtea внедрили многослойные механизмы для усложнения анализа и обнаружения. Во-первых, вредоносная программа активирует свои основные функции только при получении специального аргумента командной строки. Без этого она просто завершает работу, что эффективно обманывает автоматизированные песочницы (sandbox), полагающиеся на автономный запуск. Во-вторых, для защиты конфигурации и сетевого трафика используется комбинация трех модифицированных алгоритмов шифрования, что значительно затрудняет анализ.

Кроме того, зловредное ПО устанавливает для своего процесса наивысший приоритет защиты от менеджера памяти (OOM). Таким образом, даже при нехватке системных ресурсов вредоносный процесс будет защищен от принудительного завершения. Для маскировки исполняемый файл при загрузке получает имя из шести случайных символов. Интересно, что после запуска программа выводит в консоль сообщение «here we are», что может служить подсказкой для исследователей при динамическом анализе.

Архитектура командного центра (C2) этого ботнета демонстрирует стремление к устойчивости. Вместо фиксированного адреса вредоносное ПО содержит встроенный набор из нескольких IP-адресов и портов. Для подключения оно случайным образом выбирает один из них. Этот подход с избыточностью повышает живучесть всей управляющей инфраструктуры. Весь сетевой трафик, включая аутентификацию и команды, шифруется с помощью кастомной версии алгоритма TEA и ChaCha20. При этом процесс подключения разбивается на более чем десять пакетов, отправляемых в несколько этапов, что дополнительно осложняет анализ сетевой активности.

Функциональный анализ подтвердил, что ботнет RCtea способен проводить различные DDoS-атаки. В его арсенале числятся такие методы, как SYN FLOOD, ACK FLOOD, UDP FLOOD и TCP FLOOD, включая их варианты. Учитывая активное распространение и отсутствие крупномасштабных атак на данный момент, эксперты полагают, что злоумышленники сосредоточены на наращивании «армии» зараженных устройств. Основная цель, вероятно, заключается в создании обширной бот-сети для будущих масштабных или конкурентных атак.

Несмотря на то что RCtea является новой разработкой, в его коде обнаруживаются заметные сходства с известным ботнетом AISURU. Общие черты включают предпочтение к использованию нескольких резервных адресов C2, глубокую модификацию базовых алгоритмов шифрования для защиты данных и разделение процесса подключения на несколько раундов. Эти параллели указывают на возможную связь между операторами обоих ботнетов, наследование кода или использование общего технического источника.

Данные мониторинга за период с 20 по 25 января 2026 года показывают значительные масштабы заражения. На территории Китая было подтверждено наличие 9827 активных зараженных устройств («зомби»). Пиковое ежедневное количество одновременно активных устройств достигало 4870, а максимальное количество обращений к командным центрам за день составило 278 000.

Для защиты от угрозы эксперты CNCERT дали ряд рекомендаций. В первую очередь необходимо провести инвентаризацию сетевых активов и своевременно устранять уязвимости в системах, включая исторические. Критически важно усиливать политики паролей, избегая простых и стандартных комбинаций. Рекомендуется использовать длинные пароли (от 16 символов), состоящие из букв в разных регистрах, цифр и специальных символов. Кроме того, следует избегать использования одинаковых паролей на разных устройствах. При обнаружении признаков заражения необходимо немедленно определить масштаб компрометации, выявить вектор атаки и провести полную очистку системы.

Domains

• kieranellison.cecilioc2.xyz
• mail.gokart.su
• nineeleven.gokart.su
• www.boatdealers.su
• www.gokart.su
• www.plane.cat

URLs

• http://103.146.23.241/aarch64
• http://103.146.23.241/arc
• http://103.146.23.241/arm
• http://103.146.23.241/arm5
• http://103.146.23.241/arm7
• http://103.146.23.241/curl.sh
• http://103.146.23.241/mips
• http://103.146.23.241/mpsl
• http://103.146.23.241/wget.sh
• http://103.149.29.38/aarch64
• http://103.149.29.38/arc
• http://103.149.29.38/arm
• http://103.149.29.38/arm5
• http://103.149.29.38/arm7
• http://103.149.29.38/curl.sh
• http://103.149.29.38/mips
• http://103.149.29.38/mpsl
• http://103.149.29.38/wget.sh
• http://5.255.127.15/aarch64
• http://5.255.127.15/arc
• http://5.255.127.15/arm
• http://5.255.127.15/arm5
• http://5.255.127.15/arm7
• http://5.255.127.15/curl.sh
• http://5.255.127.15/mips
• http://5.255.127.15/mpsl
• http://5.255.127.15/wget.sh
• http://91.92.242.42/aarch64
• http://91.92.242.42/arc
• http://91.92.242.42/arm
• http://91.92.242.42/arm5
• http://91.92.242.42/arm7
• http://91.92.242.42/curl.sh
• http://91.92.242.42/mips
• http://91.92.242.42/mpsl
• http://91.92.242.42/wget.sh

SHA256

• 45168bc663329c3b1d883b83a59fe84f08b6e01895c37144ddfa9156bea3eaee
• b1c2458d22bbb0b7580470d9481654fae096a2bc0e8aab742ba9ac584568094d
• f4d312c31b3f1170621721ea7dda0ceb50977bda8f04527cf060f85dda15c513