Современный киберпреступный мир постоянно совершенствует методы атаки, адаптируясь к новым технологиям и привычкам пользователей. Особенно актуальной стала ситуация с таргетированными атаками на китайскоязычных пользователей, которые подвергаются масштабным незаконным кампаниям по распространению вредоносного программного обеспечения с помощью методик поискового отравления (SEO poisoning) и мошеннических сайтов, размещённых на популярных платформах, таких как GitHub Pages. Среди наиболее известных угроз выделяются трояны HiddenGh0st, Winos (известный также как ValleyRAT) и сравнительно новый kkRAT, который уже успел привлечь внимание ведущих исследовательских компаний. Эти трояны демонстрируют слаженную работу в рамках единой экосистемы, применяя множество продвинутых техник для обхода систем защиты и поражения устройств жертв. Активность злоумышленников была выявлена специалистами Fortinet FortiGuard Labs в августе 2025 года, когда исследования показали, как SEO-поисковые системы используются для направления пользователей на поддельные сайты, имитирующие легитимные ресурсы с популярным программным обеспечением.
Мошенники регистрируют домены, максимально похожие на официальные, используя замену символов или небольшие искажения в написании, что позволяет ввести в заблуждение даже внимательных пользователей. Рекламируемые сайты включают в себя популярные программы перевода, браузеры, приложения для мессенджеров и офисные пакеты, такие как DeepL Translate, Google Chrome, Signal, Telegram, WhatsApp и WPS Office. Пользователи, попадая на эти сайты, загружают Trojanized установщики, внешне неотличимые от оригинальных программ. Сердце процесса доставки вредоносного кода лежит в скрипте с именем nice.js, который управляет многоступенчатой цепочкой загрузки зловредного программного обеспечения.
Этот скрипт выполняет последовательные HTTP-запросы к серверу, получая JSON-ответы, содержащие ссылки, которые в итоге ведут к кода установщика с вредоносным модулем. Именно этот механизм позволяет обходить фильтры и системы предварительной проверки загрузок. Внутри вредоносного установщика содержатся DLL-библиотеки, например EnumW.dll, выполняющая сложные проверки антивирусного программного обеспечения и анализирующая среду выполнения. Она извлекает вспомогательный DLL-файл vstdlib.
dll, искусственно загружающий память и тормозящий инструменты анализа, что препятствует быстрой идентификации и нейтрализации угрозы. Если на зараженном устройстве обнаруживается антивирус 360 Total Security, используется метод TypeLib COM hijacking для установки персистентности и запуска главного исполняемого файла insalivation.exe, в противном случае создается ярлык Windows с аналогичной функцией. Этот многоуровневый подход значительно повышает шансы успешного скрытого проникновения и долговременного контроля над системой. Финальным этапом инфицирования становится загрузка и выполнение AIDE.
dll - модуля, предназначенного для предоставления командного и контрольного взаимодействия с управляющим сервером. Среди ключевых функций модуля - сбор системных данных, мониторинг процессов и проверка наличия популярных средств безопасности, поддержка обмена информацией в зашифрованном виде, а также поддержка многочисленных дополнительных плагинов. Среди них функциональность ведения кейлоггинга, контроля активности экрана и возможность перехвата и замены криптовалютных кошельков на подставные адреса, что наносит крупный урон жертвам, работающим с Ethereum и Tether. Особое внимание заслуживает троян Winos, чье происхождение связывают с группой киберпреступников, известной под разными именами - Silver Fox, SwimSnake и Valley Thief. Эта группа активна как минимум с 2022 года и специализируется на таргетированных атаках с использованием расширенных инструментов удаленного управления и скрытого контроля над системами жертв.
Winos отличается наличием мощных средств обхода защиты, в том числе использование легитимных системных драйверов для обхода проверки защиты (BYOVD), что усложняет обнаружение и удаление вредоносного ПО. С введением нового трояна kkRAT ситуация стала ещё более опасной. Исследователи Zscaler ThreatLabz зафиксировали использование kkRAT с мая 2025 года, при этом его код имеет значительные сходства с Gh0st RAT и Big Bad Wolf - другой известной угрозой, связанной с киберпреступниками из Китая. Отличительной чертой kkRAT является использование улучшенного протокола сетевого общения с дополнительным уровнем шифрования после сжатия данных, что затрудняет перехват и анализ сетевого трафика. Помимо классических функций удаленного доступа и управления, kkRAT способен похищать данные из буфера обмена, подменяя криптовалютные адреса пользователей, и устанавливать дополнительные инструменты удаленного мониторинга и управления, такие как Sunlogin и GotoHTTP.
Интересной особенностью является размещение фишинговых страниц и установщиков на платформе GitHub Pages, что позволяет злоумышленникам использовать доверие к легитимной онлайн-инфраструктуре. Использование платформы с открытым исходным кодом и высокой репутацией облегчает прохождение первоначальных фильтров безопасности и вызывает у пользователей меньше подозрений. Однако GitHub оперативно реагирует на выявленные злоупотребления, блокируя аккаунты и удаляя вредоносный контент. Вредоносные установщики, загруженные с этих фишинговых сайтов, запускают подготовленные скрипты, проверяющие среду на наличие песочниц и виртуальных машин, а также активных антивирусных решений. Для обхода защит и повышения уровня привилегий троян запрашивает администраторские права.
При их получении троян временно отключает сетевые адаптеры, чтобы затруднить работу антивирусов. Также он активно ищет и уничтожает процессы известных китайских антивирусных программ, таких как 360 Internet Security, HeroBravo System Diagnostics и другие. С помощью создания задач в планировщике Windows троян обеспечивает постоянный контроль над запуском скриптов для постоянного уничтожения защитных процессов. При выполнении всех этих мер вредоносное ПО восстанавливает сетевое соединение, ощущая лишь минимальные прерывания со стороны жертвы. Основной механизм загрузки включает получение и выполнение обфусцированного шеллкода, который скачивает следующие компоненты угрозы - законные исполняемые файлы вместе с вредоносными DLL, внедряемыми через DLL sideloading, а также зашифрованные финальные полезные нагрузки.
Такая многоступенчатая организация процесса заражения снижает вероятность быстрой детекции и делает процесс удаления гораздо сложнее. В числе функций kkRAT - подробный профиль жертвы, сбор информации о процессах, установленном ПО и настройках, управление процессами, удаленное выполнение команд и шифрованная маршрутизация трафика через SOCKS5-прокси. Троян способен действовать как миниатюрная централизованная платформа удаленного мониторинга, позволяющая злоумышленникам полностью контролировать зараженный компьютер, извлекать ценные данные и манипулировать действиями пользователя, включая подмену криптовалютных транзакций. Привлекательность этих атак заключается не только в технологической изощренности, но и в грамотном использовании социотехнических методов - жертвы самостоятельно скачивают вредоносный софт, так как считают его безопасным и необходимым. Поскольку злоумышленники используют высокоранжированные поисковые запросы и легитимные платформы, становится особенно важно обучать пользователей навыкам критической оценки источников программного обеспечения, внимательно проверять адреса сайтов и избегать скачивания ПО с подозрительных ресурсов.
Для защиты от таких угроз организациям и частным лицам рекомендуется применять комплексный подход к безопасности. Это включает в себя использование надежных, регулярно обновляемых антивирусных систем, настройку системного мониторинга процессов и сетевого трафика, использование многослойной аутентификации и фильтрации трафика на уровне сети. Важным элементом является также сегментирование сети и применение принципов минимальных привилегий для предотвращения распространения вредоносного ПО внутри корпоративной инфраструктуры. Заключение. Современные атаки вредоносного ПО на китайскоязычную аудиторию демонстрируют высокий уровень организации и технической компетенции киберпреступных группировок.
Использование SEO-поискового отравления и доверенных платформ, таких как GitHub Pages, наименее ожидаемых методов внедрения и сложной системы обхода защитных мер вызывает значительные трудности в противодействии этим угрозам. В условиях роста числа подобных сложных и целенаправленных атак непрерывное обучение пользователей и развитие защитных технологий остаются ключевыми элементами обеспечения кибербезопасности. .
