Ботнет Chaos, впервые задокументированный в сентябре 2022 года специалистами Lumen Black Lotus Labs, долгое время ассоциировался с атаками на роутеры и периферийные сетевые устройства. Кроссплатформенная вредоносная программа, работающая и под Windows, и под Linux, умела запускать удалённые shell-команды, подгружать дополнительные модули, брутфорсить SSH-ключи для распространения, майнить криптовалюту и устраивать DDoS-атаки по протоколам HTTP, TLS, TCP, UDP и WebSocket. Теперь же исследователи из Darktrace обнаружили новый вариант этого вредоноса, и он заметно отличается от предшественника.
Новую версию Chaos поймали на ханипот-сети Darktrace, куда злоумышленники добрались через намеренно неправильно сконфигурированный инстанс Hadoop с возможностью удалённого выполнения кода. Цепочка заражения начиналась с HTTP-запроса к развертыванию Hadoop для создания нового приложения. Внутрь этого приложения были встроены последовательные shell-команды, которые загружали бинарник агента Chaos с подконтрольного атакующим сервера pan.tenire[.]com. Далее скрипт менял права доступа командой chmod 777 (чтение, запись и выполнение для всех пользователей), запускал бинарник, а потом сразу же удалял его с диска, чтобы затруднить криминалистический анализ.
Сам загружаемый файл — 64-битный ELF-бинарник. И вот тут начинается самое интересное. Из нового варианта вырезаны функции распространения через SSH и эксплуатации уязвимостей в роутерах. Вместо них появилась функция SOCKS-прокси, позволяющая скомпрометированным системам проксировать чужой трафик, скрывая истинный источник вредоносной активности и обходя блокировки. Кроме того, функции, унаследованные от предшественника — вредоноса Kaiji (старый DDoS-бот, известный атаками на неправильно настроенные Docker-инстансы), — были серьёзно переписаны. Фактически код подвергся масштабному рефакторингу.
Происхождение Chaos давно связывают с Китаем — на это указывают иероглифы в коде и использование китайской инфраструктуры. Новый вариант тоже вписывается в эту картину. Домен pan.tenire[.]com, с которого раздавался вредонос, ранее фигурировал в фишинговой email-кампании. Конкретнее — его использовала китайская киберпреступная группировка Silver Fox для доставки документов-приманок и вредоносной программы ValleyRAT в рамках операции, которую аналитики Seqrite Labs задокументировали в октябре 2025 года под кодовым названием Operation Silk Lure.
Переключение прицела с роутеров на облачные развёртывания — логичный шаг. Неправильно сконфигурированных облачных сервисов в интернете хватает, а Hadoop-кластеры с открытым доступом превращаются в удобную точку входа. Никакого брутфорса SSH-ключей не нужно, когда приложение само принимает запросы на выполнение произвольного кода.
Добавление SOCKS-прокси вместо привычных методов распространения отражает сдвиг в том, как операторы ботнетов зарабатывают деньги. DDoS-атаки и криптомайнинг давно стали базовым набором, а конкуренция на рынке нелегальных услуг толкает к расширению ассортимента. Проксирование трафика через сеть заражённых машин — востребованная услуга: ею пользуются для сокрытия фишинга, проведения мошеннических операций, обхода геоблокировок. Аналогичный путь прошёл и ботнет AISURU, тоже обзаведшийся встроенными прокси-функциями.
Собственно, это и есть главная тенденция. Ботнеты перестают быть инструментом одного действия. Их операторы следят за спросом в криминальной экосистеме и адаптируют свой продукт. Если раньше заражённые устройства просто генерировали мусорный трафик для DDoS или тихо считали хеши, то теперь каждый бот в сети становится ещё и узлом прокси-инфраструктуры. Для защитников это означает, что угроза от ботнета не исчерпывается отказом в обслуживании — скомпрометированный сервер может месяцами проксировать чужие атаки, и заметить это куда сложнее, чем всплеск исходящего DDoS-трафика.
Изображение носит иллюстративный характер
Новую версию Chaos поймали на ханипот-сети Darktrace, куда злоумышленники добрались через намеренно неправильно сконфигурированный инстанс Hadoop с возможностью удалённого выполнения кода. Цепочка заражения начиналась с HTTP-запроса к развертыванию Hadoop для создания нового приложения. Внутрь этого приложения были встроены последовательные shell-команды, которые загружали бинарник агента Chaos с подконтрольного атакующим сервера pan.tenire[.]com. Далее скрипт менял права доступа командой chmod 777 (чтение, запись и выполнение для всех пользователей), запускал бинарник, а потом сразу же удалял его с диска, чтобы затруднить криминалистический анализ.
Сам загружаемый файл — 64-битный ELF-бинарник. И вот тут начинается самое интересное. Из нового варианта вырезаны функции распространения через SSH и эксплуатации уязвимостей в роутерах. Вместо них появилась функция SOCKS-прокси, позволяющая скомпрометированным системам проксировать чужой трафик, скрывая истинный источник вредоносной активности и обходя блокировки. Кроме того, функции, унаследованные от предшественника — вредоноса Kaiji (старый DDoS-бот, известный атаками на неправильно настроенные Docker-инстансы), — были серьёзно переписаны. Фактически код подвергся масштабному рефакторингу.
Происхождение Chaos давно связывают с Китаем — на это указывают иероглифы в коде и использование китайской инфраструктуры. Новый вариант тоже вписывается в эту картину. Домен pan.tenire[.]com, с которого раздавался вредонос, ранее фигурировал в фишинговой email-кампании. Конкретнее — его использовала китайская киберпреступная группировка Silver Fox для доставки документов-приманок и вредоносной программы ValleyRAT в рамках операции, которую аналитики Seqrite Labs задокументировали в октябре 2025 года под кодовым названием Operation Silk Lure.
Переключение прицела с роутеров на облачные развёртывания — логичный шаг. Неправильно сконфигурированных облачных сервисов в интернете хватает, а Hadoop-кластеры с открытым доступом превращаются в удобную точку входа. Никакого брутфорса SSH-ключей не нужно, когда приложение само принимает запросы на выполнение произвольного кода.
Добавление SOCKS-прокси вместо привычных методов распространения отражает сдвиг в том, как операторы ботнетов зарабатывают деньги. DDoS-атаки и криптомайнинг давно стали базовым набором, а конкуренция на рынке нелегальных услуг толкает к расширению ассортимента. Проксирование трафика через сеть заражённых машин — востребованная услуга: ею пользуются для сокрытия фишинга, проведения мошеннических операций, обхода геоблокировок. Аналогичный путь прошёл и ботнет AISURU, тоже обзаведшийся встроенными прокси-функциями.
Собственно, это и есть главная тенденция. Ботнеты перестают быть инструментом одного действия. Их операторы следят за спросом в криминальной экосистеме и адаптируют свой продукт. Если раньше заражённые устройства просто генерировали мусорный трафик для DDoS или тихо считали хеши, то теперь каждый бот в сети становится ещё и узлом прокси-инфраструктуры. Для защитников это означает, что угроза от ботнета не исчерпывается отказом в обслуживании — скомпрометированный сервер может месяцами проксировать чужие атаки, и заметить это куда сложнее, чем всплеск исходящего DDoS-трафика.
