Исследователи кибербезопасности Анна Фам, Таннер Филип и Дани Лопес из компании Huntress раскрыли детали кампании KongTuke, использующей агрессивную технику под названием «CrashFix». Злоумышленники распространяют вредоносное расширение для Google Chrome, замаскированное под блокировщик рекламы, которое намеренно вызывает сбой в работе браузера. Эта тактика является эскалацией методов «ClickFix» и направлена на то, чтобы вынудить жертву выполнить произвольные команды для так называемого «исправления» ошибки, что в конечном итоге приводит к загрузке ранее неизвестного трояна удаленного доступа (RAT) под названием ModeloRAT.
За этой активностью стоит группировка KongTuke, также известная под псевдонимами 404 TDS, Chaya_002, LandUpdate808 и TAG-124. Данный актор представляет собой систему распределения трафика (TDS), специализирующуюся на профилировании хостов жертв, и связан с операторами программ-вымогателей Rhysida и Interlock, а также с группой TA866 (Asylum Ambuscade), загрузчиками SocGholish и D3F@ck Loader. Согласно отчету Recorded Future от апреля 2025 года, инфраструктура группировки активно используется для целевых атак. Независимый исследователь безопасности Брэд Дункан также задокументировал использование утилиты
В качестве приманки злоумышленники используют практически идентичный клон расширения uBlock Origin Lite версии 2025.1116.1841. Пользователи, ищущие средства блокировки рекламы, попадают на вредоносные объявления, перенаправляющие их в официальный интернет-магазин Chrome Web Store. До момента удаления из магазина поддельное расширение успели загрузить не менее 5000 раз. Инфекция начинается не сразу: вредоносный код активируется через 60 минут после установки, отправляя уникальный UUID на сервер злоумышленников
Техническая реализация сбоя, представляющая собой DoS-атаку на локальном уровне, запускает бесконечный цикл создания новых соединений портов времени выполнения. Скрипт инициирует один миллиард итераций одного и того же шага, что вызывает чрезмерное потребление оперативной памяти, зависание и критический сбой браузера. Условиями для запуска этого процесса являются наличие активного UUID, успешный ответ от командного сервера (C2) и факт открытия и закрытия всплывающего окна хотя бы один раз.
После принудительной перезагрузки браузера пользователем активируется цикл социальной инженерии. На экране появляется фальшивое всплывающее окно, сообщающее об «угрозе безопасности, обнаруженной Microsoft Edge». Жертве предлагается запустить «сканирование», для чего необходимо открыть диалоговое окно «Выполнить» (Windows Run) и вставить команду, которая уже была автоматически скопирована в буфер обмена вредоносным скриптом. Для обхода анализа вредоносное ПО отключает контекстное меню правой кнопки мыши, блокирует горячие клавиши инструментов разработчика и сканирует систему на наличие более 50 инструментов анализа или признаков виртуальных машин, прекращая работу при их обнаружении.
Для доставки полезной нагрузки используется легитимная утилита Windows
Конечной целью атаки на корпоративные среды является внедрение ModeloRAT — полнофункционального трояна на языке Python. Он использует шифрование RC4 для связи с командными серверами, расположенными по IP-адресам
Логика сетевого взаимодействия ModeloRAT предусматривает несколько режимов работы. В обычном режиме «маячки» отправляются каждые 300 секунд (5 минут). В активном режиме интервал сокращается до 150 миллисекунд (значение по умолчанию, поддается настройке). В случае обнаружения сбоев связи предусмотрен режим восстановления, который ожидает 150 секунд перед возобновлением операций. Если происходит более шести неудачных попыток соединения подряд, троян переходит в режим отката (Back-off), увеличивая интервал связи до 900 секунд (15 минут). Стратегия KongTuke представляет собой самоподдерживающийся цикл заражения, эксплуатирующий фрустрацию пользователя от сбоев ПО для получения глубокого доступа к корпоративным сетям.
Изображение носит иллюстративный характер
За этой активностью стоит группировка KongTuke, также известная под псевдонимами 404 TDS, Chaya_002, LandUpdate808 и TAG-124. Данный актор представляет собой систему распределения трафика (TDS), специализирующуюся на профилировании хостов жертв, и связан с операторами программ-вымогателей Rhysida и Interlock, а также с группой TA866 (Asylum Ambuscade), загрузчиками SocGholish и D3F@ck Loader. Согласно отчету Recorded Future от апреля 2025 года, инфраструктура группировки активно используется для целевых атак. Независимый исследователь безопасности Брэд Дункан также задокументировал использование утилиты
finger.exe в рамках этой кампании в декабре 2025 года. В качестве приманки злоумышленники используют практически идентичный клон расширения uBlock Origin Lite версии 2025.1116.1841. Пользователи, ищущие средства блокировки рекламы, попадают на вредоносные объявления, перенаправляющие их в официальный интернет-магазин Chrome Web Store. До момента удаления из магазина поддельное расширение успели загрузить не менее 5000 раз. Инфекция начинается не сразу: вредоносный код активируется через 60 минут после установки, отправляя уникальный UUID на сервер злоумышленников
nexsnield[.]com. Если атака не удалась, попытки запуска полезной нагрузки повторяются каждые 10 минут. Техническая реализация сбоя, представляющая собой DoS-атаку на локальном уровне, запускает бесконечный цикл создания новых соединений портов времени выполнения. Скрипт инициирует один миллиард итераций одного и того же шага, что вызывает чрезмерное потребление оперативной памяти, зависание и критический сбой браузера. Условиями для запуска этого процесса являются наличие активного UUID, успешный ответ от командного сервера (C2) и факт открытия и закрытия всплывающего окна хотя бы один раз.
После принудительной перезагрузки браузера пользователем активируется цикл социальной инженерии. На экране появляется фальшивое всплывающее окно, сообщающее об «угрозе безопасности, обнаруженной Microsoft Edge». Жертве предлагается запустить «сканирование», для чего необходимо открыть диалоговое окно «Выполнить» (Windows Run) и вставить команду, которая уже была автоматически скопирована в буфер обмена вредоносным скриптом. Для обхода анализа вредоносное ПО отключает контекстное меню правой кнопки мыши, блокирует горячие клавиши инструментов разработчика и сканирует систему на наличие более 50 инструментов анализа или признаков виртуальных машин, прекращая работу при их обнаружении.
Для доставки полезной нагрузки используется легитимная утилита Windows
finger.exe, которая обращается к IP-адресу 199.217.98[.]108. Скрипт PowerShell, полученный таким образом, извлекает вторичный скрипт, использующий многослойное кодирование Base64 и операции XOR в стиле SocGholish. На этом этапе происходит профилирование жертвы: вредоносная программа проверяет статус системы и отправляет HTTP POST-запрос с перечнем установленных антивирусных продуктов и специальным флагом. Если система входит в домен, присваивается флаг «BCDA222», и происходит развертывание ModeloRAT. Для автономных систем или рабочих групп используется флаг «ABCD111», и заражение заканчивается сообщением от C2 «TEST PAYLOAD!!!!», что подразумевает фазу тестирования. Конечной целью атаки на корпоративные среды является внедрение ModeloRAT — полнофункционального трояна на языке Python. Он использует шифрование RC4 для связи с командными серверами, расположенными по IP-адресам
170.168.103[.]208 и 158.247.252[.]178. Троян обеспечивает закрепление в системе через реестр и способен выполнять бинарные файлы, DLL, скрипты Python и команды PowerShell. В функционал также включены команды самообновления («VERSION_UPDATE») и завершения работы («TERMINATION_SIGNAL»). Логика сетевого взаимодействия ModeloRAT предусматривает несколько режимов работы. В обычном режиме «маячки» отправляются каждые 300 секунд (5 минут). В активном режиме интервал сокращается до 150 миллисекунд (значение по умолчанию, поддается настройке). В случае обнаружения сбоев связи предусмотрен режим восстановления, который ожидает 150 секунд перед возобновлением операций. Если происходит более шести неудачных попыток соединения подряд, троян переходит в режим отката (Back-off), увеличивая интервал связи до 900 секунд (15 минут). Стратегия KongTuke представляет собой самоподдерживающийся цикл заражения, эксплуатирующий фрустрацию пользователя от сбоев ПО для получения глубокого доступа к корпоративным сетям.
