Tsundere predstavuje významný posun v taktike botnetu, ktorý využíva silu legitímnych balíkov Node.js a technológie blockchain na distribúciu malvéru medzi viacero operačných systémov.
Tento botnet, ktorý prvýkrát identifikovali výskumníci Kaspersky GReAT okolo polovice roku 2025, demonštruje vyvíjajúcu sa sofistikovanosť útokov na dodávateľský reťazec.
Hrozba pochádza z aktivity, ktorá bola prvýkrát pozorovaná v októbri 2024, kde útočníci vytvorili 287 škodlivých balíčkov npm pomocou typosquattingu – napodobňovaním názvov populárnych knižníc ako Puppeteer a Bignum.js, aby oklamali vývojárov pri inštalácii.
Infekčný vektor sa odvtedy značne vyvinul. Tsundere sa šíri viacerými spôsobmi, vrátane nástrojov na vzdialené monitorovanie a správu a skrytých inštalátorov hier, ktoré využívajú pirátske komunity.
Vzorky objavené vo voľnej prírode nesú mená ako „valorant“, „cs2“ a „r6x“, konkrétne zamerané na nadšencov strieľačiek z pohľadu prvej osoby.
Inteligentná zmluva obsahujúca botnet Tsundere WebSocket C2 (zdroj – Securelist)
Tento prístup sa ukazuje ako vysoko účinný pri vyhýbaní sa tradičnému povedomiu o bezpečnosti, pretože používatelia tieto aplikácie aj tak očakávajú.
Botnet ohrozuje najmä používateľov systému Windows, hoci počiatočná kampaň odhalila systémy na platformách Windows, Linux a macOS, keď fungovala prostredníctvom nasadenia balíkov npm.
Infraštruktúra za Tsunderem odhaľuje sofistikované chápanie moderných metód útoku. Namiesto spoliehania sa na tradičnú centralizovanú infraštruktúru príkazov a riadenia botnet využíva inteligentné zmluvy Ethereum blockchain na ukladanie a získavanie adries C2.
Komunikačný proces Tsundere s C2 cez WebSockets (zdroj – Securelist)
Tento prístup zvyšuje odolnosť tým, že sťažuje odstránenie serverov konvenčnými prostriedkami. Aktér hrozby, identifikovaný ako koneko – rusky hovoriaci agent – prevádzkuje profesionálny trh, kde si iní počítačoví zločinci môžu zakúpiť botnetové služby alebo nasadiť svoje vlastné funkcie.
Bezpečnostní analytici Securelist identifikovali malvér po objavení súvislostí medzi súčasnou kampaňou a predchádzajúcimi útokmi na dodávateľský reťazec.
Ich vyšetrovanie odhalilo, že aktér hrozby sa odvtedy znovu objavil s vylepšenými schopnosťami a spustil Tsundere ako evolúciu predchádzajúcich snáh o malvér.
Prihlásenie do panelu botnetu Tsundere (zdroj – Securelist)
Panel podporuje inštalačný program MSI aj mechanizmy doručovania skriptov PowerShell, čo útočníkom poskytuje flexibilitu v stratégiách nasadenia v rôznych sieťových prostrediach a obrane.
Ako si Tsundere udržuje vytrvalosť prostredníctvom zneužívania Node.js
Mechanizmus infekcie sa spustí, keď sa v systéme obete spustí inštalačný program MSI alebo skript PowerShell, čím sa do aplikácie AppData spolu so škodlivým JavaScriptom uložia legitímne súbory runtime Node.js.
Nastavenie používa skrytý príkaz PowerShell, ktorý vytvára proces Node.js vykonávajúci zahmlený kód zavádzača.
Tento skript zavádzača dešifruje hlavného robota pomocou šifrovania AES-256-CBC pred vytvorením prostredia botnetu. Robot automaticky nainštaluje tri kritické balíčky npm: ws pre komunikáciu WebSocket, ethery pre interakciu blockchainu Ethereum a pm2 pre vytrvalosť procesov.
Balík pm2 hrá kľúčovú úlohu pri udržiavaní prítomnosti na napadnutých počítačoch. Vytvára položky registra, ktoré zaisťujú automatické reštartovanie robota vždy, keď sa používateľ prihlási, čím sa dosiahne efektívna vytrvalosť.
Bot sa potom pýta na uzly blockchainu Ethereum prostredníctvom verejných poskytovateľov RPC a získava aktuálnu adresu servera C2 z premennej inteligentnej zmluvy.
Tento šikovný prístup znamená, že obrancovia nemôžu jednoducho zablokovať známu IP adresu – útočníci ľubovoľne otáčajú C2 infraštruktúru prostredníctvom blockchainových transakcií, čím sa tradičné blokovanie založené na IP stáva neúčinným.
Po pripojení robot nadviaže šifrovanú komunikáciu a čaká na príkazy od operátorov, ktoré prichádzajú ako dynamický kód JavaScript na vykonanie.
Sledujte nás na Google News, LinkedIn a X a získajte ďalšie okamžité aktualizácie, nastavte CSN ako preferovaný zdroj v Google.
