Go-троянец с ML-KEM и облачным C2 для Windows

9 апреля 2026 года в VirusTotal был загружен скомпилированный Go троянец для Windows DLL, который несколько платформ обнаружения идентифицировали как WinGo/Agent_AGen.ACA и троян:Win32/Wacatac.B!ml. По данным анализа, вредоносный файл был замаскирован под утилиту обнаружения игровых хостов ASUSTeK, использовал Garble для запутывания кода и содержал сфабрикованную подпись DigiCert Authenticode.

Особый интерес исследователей вызвало применение постквантовой криптографии. В образце обнаружено использование ML-KEM вместе с ChaCha20-Poly1305 — сочетание, которое для вредоносного ПО выглядит крайне необычно и, по словам аналитиков, почти не встречается в общедоступных записях. Это может указывать на попытку обеспечить direct secrecy в управляющих коммуникациях и повысить устойчивость к будущим попыткам квантового дешифрования.

Криптографический стек и архитектура C2

Первичный анализ образца позволил восстановить общую схему его работы. Вредоносное ПО использует четко определенную архитектуру command and control (C2), построенную на инфраструктуре двойного облака в Azure и Firebase. Такая конфигурация усложняет блокировку каналов связи и затрудняет атрибуцию.

Дополнительную стойкость к перехвату обеспечивает встроенная функция certificate pinning, которая препятствует традиционным методам анализа трафика, особенно в корпоративных средах. На практике это делает перехват и расшифровку коммуникаций существенно сложнее.

• ML-KEM — для криптографической защиты коммуникаций;
• ChaCha20-Poly1305 — для шифрования полезной нагрузки и обмена данными;
• Azure и Firebase — как основа двойной cloud-инфраструктуры C2;
• certificate pinning — для противодействия перехвату TLS-трафика.

Маскировка под ASUS и методы запутывания

Троянец оформлен под легитимную утилиту ASUSTeK, связанную с обнаружением игровых хостов. Такая маскировка повышает шансы на обход базовой проверки: программное обеспечение, которое выглядит как знакомый и правдоподобный инструмент, реже вызывает подозрения у пользователя и может проходить начальные фильтры безопасности.

Внутри бинарного файла применен Garble, который генерирует случайные, трудно читаемые имена пакетов и функций Go, скрывая структуру кода. Кроме того, вредоносное ПО использует шифр Цезаря для путей к файлам — для каждой строки отдельно. Это дополнительно усложняет статический анализ и обратное проектирование.

«Особенности образца — гибридные криптографические методы, двойная cloud-архитектура C2 и высокая устойчивость к проверке TLS — указывают на необычно высокий уровень подготовки», — следует из анализа.

Признаки возможной целевой активности

Включенные в образец операционные данные, по-видимому, ориентированы на распространенные файлы и процессы Windows. Это может означать, что вредоносное ПО способно выполнять функции, сходные с векторами заражения, которые ранее наблюдались у других семейств вредоносных программ.

Аналитики отмечают, что совокупность признаков — от сложной криптографии до устойчивой инфраструктуры связи — может указывать на один из нескольких сценариев:

• актор, связанный с государством;
• разработчик инструментов red-team;
• новый сложный вредоносный framework.

При этом конкретных злоумышленников, а также связей с уже известными кампаниями, установить не удалось. Поэтому точная природа угрозы остается в значительной степени спекулятивной.

Вывод

Комбинация поддельной легенды, Garble-запутывания, сфабрикованной DigiCert Authenticode-подписи, post-quantum криптографии и двойной cloud-инфраструктуры C2 делает этот образец нетипичным даже на фоне современных угроз. Отсутствие атрибуции и признаков принадлежности к известным операциям лишь усиливает впечатление, что речь может идти о высоконаправленной и хорошо подготовленной активности, а не о стандартной киберпреступной кампании.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.