В сети обнаружен новый неавторизованный C2-фреймворк Auraboros: панель управления и данные жертв доступны без пароля

Обнаруженная инфраструктура, размещённая на сервере DigitalOcean в США, обслуживает панель управления на порту 5000 по протоколу HTTP. Панель представляет собой одностраничное приложение, написанное на Express.js с использованием Socket.io для обмена данными в реальном времени, и не требует ввода логина или пароля. Как установили исследователи, интерфейс полностью на бразильском португальском, а в футере указано копирайт-сообщение "© 2026 Auraboros Advanced Defense Systems". Несмотря на столь серьёзное название, предполагающее принадлежность к системам продвинутой защиты, разработчик не потратил ни минуты на обеспечение базовой безопасности самого C2-сервера. Более того, сервер настроен с политикой CORS, разрешающей запросы с любого домена (Access-Control-Allow-Origin: *), что открывает дополнительные векторы для злонамеренного взаимодействия.

Функционал Auraboros поражает своей широтой и свидетельствует о высокой технической компетенции автора. Анализ 84 килобайт исходного JavaScript-кода, встроенного в панель, позволил восстановить полный набор команд, которые оператор может отправлять на скомпрометированные системы. Этот арсенал включает классические функции наблюдения, такие как снятие скриншотов, фотографирование с веб-камеры и запуск кейлоггера. Особо выделяется возможность потоковой передачи живого аудио с микрофона жертвы через Socket.io. Для кражи данных реализованы модули извлечения сохранённых паролей и файлов cookies из браузеров Chrome и Brave, а также получения паролей от Wi-Fi-сетей. Удалённый доступ обеспечивается через файловый менеджер, возможность выполнения произвольных shell-команд и даже развёртывание обратного SOCKS5-прокси на порту 1080 для маршрутизации трафика через компьютер жертвы.

Одной из наиболее продвинутых и опасных функций является механизм персонализации (impersonation) на основе украденных cookies. Он позволяет оператору не только извлечь сессионные cookies, но и автоматически сгенерировать скрипт для перехвата сессии, маршрутизируя при этом соединение через SOCKS5-прокси жертвы. Это обеспечивает совпадение IP-адреса, что значительно затрудняет обнаружение подмены со стороны целевого веб-сервиса. Для поддержки инфраструктуры злоумышленника предусмотрена функция OTA-обновлений (Over-The-Air), позволяющая удалённо загружать новые версии вредоносного агента на все подключённые системы.

На момент обнаружения на сервере была зарегистрирована лишь одна система-жертва, анализ данных о которой приоткрывает завесу над личностью разработчика. Согласно JSON-ответу от эндпоинта "/api/beacons", это ноутбук Lenovo в городе Гояния, Бразилия, с именем пользователя "LabCasa" (домашняя лаборатория), запускающий процесс "DiskIntegrityScanner.exe". Детали - локация, бразильский IPv6-адрес провайдера Claro/NET, специфическая модель ноутбука и отсутствие других жертв - красноречиво указывают на то, что это тестовая машина самого создателя Auraboros. Логи событий показывают, что 15 апреля 2026 года разработчик активно тестировал функции, в частности, 18 раз запускал кражу данных из браузера Brave, что свидетельствует об отладке механизма расшифровки мастер-ключа через Windows DPAPI.

Архитектура вредоносного агента также представляет интерес. Судя по логам, он реализован в виде DLL-библиотеки, которая подгружается в процесс легитимного исполняемого файла "DiskIntegrityScanner.exe" - это известная техника уклонения от защиты, называемая DLL sideloading. Агент также обладает функцией самоуничтожения, о чём свидетельствуют записи в логах. Полная история команд, хранящаяся на сервере и доступная без авторизации, детально документирует всю тестовую сессию разработчика.

Обнаружение Auraboros C2 высвечивает тревожный тренд: создатели сложных вредоносных инструментов зачастую демонстрируют высокий уровень программирования, но при этом пренебрегают фундаментальными принципами безопасности для собственной инфраструктуры. Отсутствие аутентификации, передача всех данных в открытом виде по HTTP, широко открытая политика CORS и публичное хостинг-пространство делают такого оператора уязвимым не только для исследователей, но и для конкурентов или правоохранительных органов. В данном случае, учитывая стадию активной разработки и тестирования на личном оборудовании, можно сделать вывод, что фреймворк ещё не использовался в реальных атаках. Однако его функциональная полнота и техническая зрелость означают, что потенциальная угроза весьма серьёзна. Как только разработчик устранит критичные провалы в OPSEC, Auraboros может превратиться в опасный инструмент в руках злоумышленников, ориентированных на комплексный шпионаж и кражу данных. Для специалистов по безопасности этот случай служит напоминанием о важности мониторинга открытых портов и анализа нестандартных веб-интерфейсов, которые могут скрывать подобные "открытые" командные центры.

IPv4

• 174.138.43.25

IPv4 Port Combinations

• 174.138.43.25:9000