Киберпреступная группировка Black Cat инициировала агрессивную кампанию по распространению вредоносного программного обеспечения, используя методы SEO-отравления. Злоумышленники намеренно манипулируют результатами поисковой выдачи, чтобы заставить пользователей загрузить троян-бэкдор, предназначенный для кражи данных и удаленного управления системой. Основной целью этой атаки стали китайские пользователи, на что указывает специфическое использование маркера «cn» в названиях зарегистрированных мошенниками доменов.
Группировка Black Cat ведет активную деятельность как минимум с 2022 года и имеет подтвержденную историю финансовых преступлений. В 2023 году хакеры успешно имитировали популярную платформу для торговли виртуальной валютой AICoin, что привело к значительным потерям среди пользователей. В результате той операции злоумышленникам удалось похитить криптовалюту на сумму не менее 160 000 долларов США, что демонстрирует их нацеленность на прямую финансовую выгоду и кражу цифровых активов.
Информацию о новой волне атак подтвердили специалисты Национального центра реагирования на чрезвычайные ситуации в компьютерной сети Китая (CNCERT/CC) и компании Beijing Weibu Online, также известной как ThreatBook. Согласно их данным, масштаб заражения оказался огромным: в период между 7 и 20 числом одного из месяцев 2025 года было скомпрометировано около 277 800 хостов по всему Китаю. Пик активности пришелся на один из дней, когда количество зараженных машин достигло рекордной отметки в 62 167 единиц.
Механизм атаки базируется на технике SEO Poisoning (отравление поисковой оптимизации), при этом злоумышленники активно эксплуатируют алгоритмы поисковой системы Microsoft Bing. Стратегия заключается в продвижении мошеннических фишинговых сайтов на верхние строчки результатов поиска по запросам популярных программ. В список целевого программного обеспечения, которое ищут жертвы, вошли Google Chrome, Notepad++, QQ International, iTools, а также утилиты Obsidian и WinSCP, на что указывают обнаруженные вредоносные домены.
Для реализации схемы хакеры зарегистрировали ряд доменов, мимикрирующих под официальные ресурсы. В список индикаторов компрометации вошли сайты
Техническая цепочка заражения использует метод боковой загрузки (side-loading) вредоносной DLL-библиотеки. После запуска инсталлятор создает ярлык на рабочем столе, который служит точкой входа для активации вредоносного кода. Этот процесс происходит скрытно от пользователя и приводит к запуску трояна-бэкдора. Вредоносная программа немедленно устанавливает связь с удаленным командным сервером (C2), расположенным по адресу
Функционал развернутого вредоносного ПО сосредоточен на тотальном шпионаже и хищении конфиденциальной информации. Троян способен перехватывать данные веб-браузеров, регистрировать нажатия клавиш (кейлоггинг), копировать содержимое буфера обмена и извлекать другие чувствительные данные с зараженного хоста. Для защиты от подобных угроз эксперты настоятельно рекомендуют воздерживаться от перехода по ссылкам из непроверенных источников и загружать программное обеспечение исключительно с официальных веб-сайтов разработчиков.
Изображение носит иллюстративный характер
Группировка Black Cat ведет активную деятельность как минимум с 2022 года и имеет подтвержденную историю финансовых преступлений. В 2023 году хакеры успешно имитировали популярную платформу для торговли виртуальной валютой AICoin, что привело к значительным потерям среди пользователей. В результате той операции злоумышленникам удалось похитить криптовалюту на сумму не менее 160 000 долларов США, что демонстрирует их нацеленность на прямую финансовую выгоду и кражу цифровых активов.
Информацию о новой волне атак подтвердили специалисты Национального центра реагирования на чрезвычайные ситуации в компьютерной сети Китая (CNCERT/CC) и компании Beijing Weibu Online, также известной как ThreatBook. Согласно их данным, масштаб заражения оказался огромным: в период между 7 и 20 числом одного из месяцев 2025 года было скомпрометировано около 277 800 хостов по всему Китаю. Пик активности пришелся на один из дней, когда количество зараженных машин достигло рекордной отметки в 62 167 единиц.
Механизм атаки базируется на технике SEO Poisoning (отравление поисковой оптимизации), при этом злоумышленники активно эксплуатируют алгоритмы поисковой системы Microsoft Bing. Стратегия заключается в продвижении мошеннических фишинговых сайтов на верхние строчки результатов поиска по запросам популярных программ. В список целевого программного обеспечения, которое ищут жертвы, вошли Google Chrome, Notepad++, QQ International, iTools, а также утилиты Obsidian и WinSCP, на что указывают обнаруженные вредоносные домены.
Для реализации схемы хакеры зарегистрировали ряд доменов, мимикрирующих под официальные ресурсы. В список индикаторов компрометации вошли сайты
cn-notepadplusplus[.]com, cn-obsidian[.]com, cn-winscp[.]com, а также notepadplusplus[.]cn. Когда пользователь нажимает кнопку загрузки на одной из таких страниц, происходит перенаправление на ресурс github.zh-cns[.]top, который имитирует интерфейс GitHub. Оттуда на компьютер жертвы скачивается ZIP-архив, содержащий инсталлятор. Техническая цепочка заражения использует метод боковой загрузки (side-loading) вредоносной DLL-библиотеки. После запуска инсталлятор создает ярлык на рабочем столе, который служит точкой входа для активации вредоносного кода. Этот процесс происходит скрытно от пользователя и приводит к запуску трояна-бэкдора. Вредоносная программа немедленно устанавливает связь с удаленным командным сервером (C2), расположенным по адресу
sbido[.]com:2869, для получения дальнейших инструкций. Функционал развернутого вредоносного ПО сосредоточен на тотальном шпионаже и хищении конфиденциальной информации. Троян способен перехватывать данные веб-браузеров, регистрировать нажатия клавиш (кейлоггинг), копировать содержимое буфера обмена и извлекать другие чувствительные данные с зараженного хоста. Для защиты от подобных угроз эксперты настоятельно рекомендуют воздерживаться от перехода по ссылкам из непроверенных источников и загружать программное обеспечение исключительно с официальных веб-сайтов разработчиков.
