VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã cảnh báo về một mạng botnet đang phát triển mạnh có tên Tsundere đang nhắm mục tiêu vào người dùng Windows.

Nhà nghiên cứu Lisandro Ubiedo của Kaspersky cho biết trong một phân tích được công bố hôm nay rằng mối đe dọa này đã hoạt động từ giữa năm 2025 và được thiết kế để thực thi mã JavaScript tùy ý được lấy từ máy chủ chỉ huy và kiểm soát (C2).


Hiện tại vẫn chưa có thông tin chi tiết về cách thức phát tán phần mềm độc hại botnet; tuy nhiên, trong ít nhất một trường hợp, những kẻ đe dọa đứng sau hoạt động này được cho là đã lợi dụng một công cụ Giám sát và Quản lý từ xa (RMM) hợp pháp làm phương tiện để tải xuống tệp cài đặt MSI từ một trang web bị xâm phạm.

Tên gọi của các hiện vật phần mềm độc hại - Valorant, r6x (Rainbow Six Siege X) và cs2 (Counter-Strike 2) - cũng cho thấy khả năng mã độc này đang được phát tán bằng cách sử dụng mồi nhử trong trò chơi. Có khả năng người dùng tìm kiếm các phiên bản lậu của những trò chơi này chính là mục tiêu.

Bất kể phương pháp nào được sử dụng, trình cài đặt MSI giả mạo được thiết kế để cài đặt Node.js và khởi chạy một tập lệnh tải chịu trách nhiệm giải mã và thực thi payload chính liên quan đến botnet. Nó cũng chuẩn bị môi trường bằng cách tải xuống ba thư viện hợp lệ, cụ thể là ws, ethers và pm2, bằng lệnh "npm install".

"Gói pm2 được cài đặt để đảm bảo bot Tsundere luôn hoạt động và được sử dụng để khởi chạy bot", Ubiedo giải thích. "Ngoài ra, pm2 còn giúp duy trì tính ổn định trên hệ thống bằng cách ghi vào sổ đăng ký và tự cấu hình để khởi động lại quy trình khi đăng nhập."

Phân tích của Kaspersky về bảng điều khiển C2 đã tiết lộ rằng phần mềm độc hại cũng được phát tán dưới dạng một tập lệnh PowerShell, thực hiện một chuỗi hành động tương tự bằng cách triển khai Node.js trên máy chủ bị xâm phạm và tải xuống ws và ether dưới dạng các phần phụ thuộc.

Mặc dù trình lây nhiễm PowerShell không sử dụng pm2, nhưng nó thực hiện các hành động tương tự như trong trình cài đặt MSI bằng cách tạo giá trị khóa sổ đăng ký đảm bảo bot được thực thi trong mỗi lần đăng nhập bằng cách tạo ra một phiên bản mới của chính nó.

Botnet Tsundere sử dụng blockchain Ethereum để lấy thông tin chi tiết về máy chủ WebSocket C2 (ví dụ: ws://193.24.123[.]68:3011 hoặc ws://185.28.119[.]179:1234), tạo ra một cơ chế linh hoạt cho phép kẻ tấn công xoay vòng cơ sở hạ tầng chỉ bằng cách sử dụng hợp đồng thông minh. Hợp đồng này được tạo vào ngày 23 tháng 9 năm 2024 và đã có 26 giao dịch cho đến nay.


Sau khi địa chỉ C2 được lấy, nó sẽ kiểm tra để đảm bảo đó là URL WebSocket hợp lệ, sau đó tiến hành thiết lập kết nối WebSocket với địa chỉ cụ thể và nhận mã JavaScript do máy chủ gửi. Kaspersky cho biết họ không phát hiện bất kỳ lệnh tiếp theo nào từ máy chủ trong thời gian theo dõi.

Kaspersky cho biết: "Khả năng đánh giá mã khiến bot Tsundere trở nên tương đối đơn giản, nhưng nó cũng mang lại sự linh hoạt và năng động, cho phép quản trị viên botnet điều chỉnh nó cho phù hợp với nhiều hành động khác nhau".

Hoạt động của botnet được hỗ trợ bởi một bảng điều khiển cho phép người dùng đã đăng nhập xây dựng các hiện vật mới bằng MSI hoặc PowerShell, quản lý các chức năng quản trị, xem số lượng bot tại bất kỳ thời điểm nào, biến bot của họ thành proxy để định tuyến lưu lượng truy cập độc hại và thậm chí duyệt và mua botnet thông qua một thị trường chuyên dụng.

Hiện vẫn chưa rõ ai đứng sau Tsundere, nhưng việc sử dụng tiếng Nga trong mã nguồn cho mục đích ghi nhật ký cho thấy đây là một tác nhân đe dọa nói tiếng Nga. Hoạt động này được đánh giá là có sự trùng lặp về chức năng với một chiến dịch npm độc hại đã được Checkmarx, Phylum và Socket ghi nhận vào tháng 11 năm 2024.

Hơn nữa, cùng một máy chủ đã được xác định là nơi lưu trữ bảng điều khiển C2 liên quan đến một kẻ đánh cắp thông tin được gọi là 123 Stealer, có sẵn theo hình thức đăng ký với giá 120 đô la mỗi tháng. Nó được một tác nhân đe dọa có tên "koneko" quảng cáo lần đầu tiên trên một diễn đàn dark web vào ngày 17 tháng 6 năm 2025, theo Nhóm KrakenLabs của Outpost24.

Một manh mối khác cho thấy nguồn gốc của nó từ Nga là khách hàng bị cấm sử dụng phần mềm đánh cắp thông tin để nhắm mục tiêu vào Nga và các quốc gia thuộc Cộng đồng các Quốc gia Độc lập (CIS). "Vi phạm quy định này sẽ dẫn đến việc tài khoản của bạn bị khóa ngay lập tức mà không cần giải thích", Koneko viết trong bài đăng lúc đó.

Kaspersky cho biết: "Các vụ nhiễm trùng có thể xảy ra thông qua các tệp MSI và PowerShell, cung cấp tính linh hoạt trong việc ngụy trang trình cài đặt, sử dụng lừa đảo làm điểm xâm nhập hoặc tích hợp với các cơ chế tấn công khác, khiến chúng trở thành mối đe dọa thậm chí còn đáng sợ hơn".