Киберпреступники развертывают волну высокотехнологичных троянов удаленного доступа (RAT) для получения абсолютного контроля над зараженными системами. Основным вектором атаки стали троянизированные игровые утилиты, которые массово распространяются через браузеры и платформы для общения с целью доставки скрытного RAT на базе Java. Одновременно с этим зафиксировано появление новых высокоэффективных семейств вредоносного ПО, таких как Steaelite, DesckVB RAT и KazakRAT, которые объединяют кражу данных, программы-вымогатели и инструменты спонсируемого государством шпионажа в единые, легко управляемые панели.
Команда Microsoft Threat Intelligence опубликовала в социальной сети X данные о масштабной кампании по распространению многоцелевого вредоносного ПО, функционирующего одновременно как загрузчик, раннер, даунлоадер и RAT. Атака начинается с того, что вредоносный загрузчик подготавливает портативную среду выполнения Java.
Техническая реализация продолжается исполнением вредоносного архива Java — файла
Для постоянного присутствия в системе троян создает запланированную задачу и сценарий запуска Windows под названием
Параллельно с этим компания BlackFog раскрыла детали о Steaelite — высококоммерциализированном семействе вредоносного ПО. Начиная с ноября 2025 года этот инструмент активно рекламируется на криминальных форумах как «лучший Windows RAT» с функцией «полностью необнаруживаемого» (FUD) кода. Данный вирус полностью совместим с операционными системами Windows 10 и Windows 11.
Исследователь безопасности Венди Маккейг провела экспертный анализ угрозы, отметив, что Steaelite фундаментально отличается от стандартных троянов тем, что объединяет кражу данных и программы-вымогатели в единую веб-панель управления, обеспечивая «полное двойное вымогательство». Разработчики этого комплекса также ведут активное создание отдельного модуля программы-вымогателя для платформы Android.
Инструментарий панели разработчика Steaelite предоставляет хакерам функции кейлоггера, поиска файлов, подмены буфера обмена (клиппер), изменения обоев, распространения через USB-накопители, обхода UAC и прямого чата между клиентом и жертвой. Программа способна принудительно удалять конкурирующее вредоносное ПО с хоста, отключать Microsoft Defender или настраивать для него исключения, а также устанавливать собственные скрытые методы закрепления в ОС.
Steaelite поддерживает удаленное выполнение кода (RCE), запуск произвольных файлов, управление файловой системой, перечисление установленных программ, открытие URL-адресов и компиляцию полезной нагрузки на . Вирус обладает функциями тотального наблюдения: он обеспечивает прямую трансляцию экрана, несанкционированный доступ к веб-камере и микрофону, мониторинг буфера обмена, отслеживание местоположения, кражу паролей, сбор учетных данных, управление процессами и организацию DDoS-атак.
В последние недели охотники за угрозами выявили еще несколько новых семейств RAT, среди которых выделяется DesckVB RAT. Этот инструмент предоставляет операторам комплексный удаленный контроль над инфицированными хостами и отличается способностью выборочно развертывать вредоносные функции уже после успешного компрометирования системы.
Организация по кибербезопасности Ctrl Alt Intel в те же сроки обнаружила и начала отслеживать троян KazakRAT. Эта вредоносная программа, являющаяся частью непрерывной долгосрочной кампании шпионажа, активна с августа 2022 года. Атаки предположительно координируются связанным с государством кластером, а главными целями выступают казахские организации и афганские предприятия.
Изображение носит иллюстративный характер
Команда Microsoft Threat Intelligence опубликовала в социальной сети X данные о масштабной кампании по распространению многоцелевого вредоносного ПО, функционирующего одновременно как загрузчик, раннер, даунлоадер и RAT. Атака начинается с того, что вредоносный загрузчик подготавливает портативную среду выполнения Java.
Техническая реализация продолжается исполнением вредоносного архива Java — файла
jd-gui.jar. Для обеспечения максимальной маскировки злоумышленники применяют PowerShell и легитимные системные бинарные файлы (LOLBins), в частности cmstp.exe, что позволяет избегать обнаружения инструментами мониторинга. Сразу после успешного запуска первоначальный загрузчик автоматически удаляется с зараженного устройства. Для постоянного присутствия в системе троян создает запланированную задачу и сценарий запуска Windows под названием
world.vbs. Вредонос настраивает специальные исключения в Microsoft Defender для своих компонентов и связывается с внешним сервером управления (C2) по IP-адресу 79.110.49[.]15 для кражи данных и загрузки дополнительных полезных нагрузок. Для защиты от этой угрозы необходимо провести аудит исключений Microsoft Defender и запланированных задач, удалить вредоносные скрипты, изолировать зараженные конечные точки и сбросить учетные данные активных пользователей. Параллельно с этим компания BlackFog раскрыла детали о Steaelite — высококоммерциализированном семействе вредоносного ПО. Начиная с ноября 2025 года этот инструмент активно рекламируется на криминальных форумах как «лучший Windows RAT» с функцией «полностью необнаруживаемого» (FUD) кода. Данный вирус полностью совместим с операционными системами Windows 10 и Windows 11.
Исследователь безопасности Венди Маккейг провела экспертный анализ угрозы, отметив, что Steaelite фундаментально отличается от стандартных троянов тем, что объединяет кражу данных и программы-вымогатели в единую веб-панель управления, обеспечивая «полное двойное вымогательство». Разработчики этого комплекса также ведут активное создание отдельного модуля программы-вымогателя для платформы Android.
Инструментарий панели разработчика Steaelite предоставляет хакерам функции кейлоггера, поиска файлов, подмены буфера обмена (клиппер), изменения обоев, распространения через USB-накопители, обхода UAC и прямого чата между клиентом и жертвой. Программа способна принудительно удалять конкурирующее вредоносное ПО с хоста, отключать Microsoft Defender или настраивать для него исключения, а также устанавливать собственные скрытые методы закрепления в ОС.
Steaelite поддерживает удаленное выполнение кода (RCE), запуск произвольных файлов, управление файловой системой, перечисление установленных программ, открытие URL-адресов и компиляцию полезной нагрузки на . Вирус обладает функциями тотального наблюдения: он обеспечивает прямую трансляцию экрана, несанкционированный доступ к веб-камере и микрофону, мониторинг буфера обмена, отслеживание местоположения, кражу паролей, сбор учетных данных, управление процессами и организацию DDoS-атак.
В последние недели охотники за угрозами выявили еще несколько новых семейств RAT, среди которых выделяется DesckVB RAT. Этот инструмент предоставляет операторам комплексный удаленный контроль над инфицированными хостами и отличается способностью выборочно развертывать вредоносные функции уже после успешного компрометирования системы.
Организация по кибербезопасности Ctrl Alt Intel в те же сроки обнаружила и начала отслеживать троян KazakRAT. Эта вредоносная программа, являющаяся частью непрерывной долгосрочной кампании шпионажа, активна с августа 2022 года. Атаки предположительно координируются связанным с государством кластером, а главными целями выступают казахские организации и афганские предприятия.
