Хакеры распространяют вредонос ChaosBot на базе Rust, использующий Discord для управления заражёнными системами

Исследователи канадской компании eSentire раскрыли детали о новой вредоносной программе ChaosBot, написанной на языке Rust. Угроза отличается нестандартным способом командования и управления: операторы используют мессенджер Discord для удалённого контроля над заражёнными машинами. Программа позволяет выполнять произвольные команды, собирать информацию о системе и устанавливать постоянный доступ к сети жертвы.

ChaosBot был впервые зафиксирован в конце сентября 2025 года в инфраструктуре клиента из финансового сектора. По данным экспертов, злоумышленники получили доступ с использованием украденных учётных данных — как от Cisco VPN, так и от учётной записи Active Directory с завышенными правами, обозначенной как serviceaccount. С их помощью проводился запуск вредоносного ПО через WMI (Windows Management Instrumentation), что дало возможность управлять удалёнными узлами без привлечения внимания.

Одной из особенностей ChaosBot является то, что он использует серверы Discord в качестве центра управления (C2). Злоумышленник, действующий под псевдонимом chaos_00019, управляет заражёнными устройствами, отдавая команды через каналы Discord, созданные с использованием имени заражённого компьютера. В операции также задействован второй аккаунт — lovebb0024.

Также было установлено, что вредоносное ПО распространяется через фишинговые письма. Жертвам рассылаются LNK-файлы — ярлыки Windows, при открытии которых выполняется команда PowerShell, загружающая ChaosBot. Для отвлечения внимания пользователя запускается поддельный PDF-файл, якобы от Государственного банка Вьетнама, что создаёт иллюзию легитимной деловой переписки.

Загружаемый компонент ChaosBot — это вредоносная библиотека DLL с именем msedge_elf.dll, которая запускается через подлинный исполняемый файл identity_helper.exe из состава Microsoft Edge. После активации происходит сбор системной информации и загрузка Fast Reverse Proxy (FRP) — инструмента, создающего обратный прокси-сервер для постоянного подключения к заражённой сети.

Исследователи также зафиксировали попытки злоумышленников использовать инфраструктуру Visual Studio Code Tunnel как альтернативный бэкдор, однако эти действия не привели к успешной активации канала управления.

По сути, ChaosBot — это многофункциональный инструмент удалённого администрирования, ориентированный на скрытную работу в корпоративных сетях. Использование Discord в качестве C2-платформы делает его особенно сложным для обнаружения, поскольку трафик через этот мессенджер зачастую воспринимается как легитимный и не блокируется корпоративными фильтрами.