Koi: модульный мультиплатформенный стиллер, эволюция угрозы KPOT

Koi представляет собой значительную эволюцию по сравнению с более ранним вредоносным ПО KPOT, переходя от общедоступной модели к более эксклюзивному, контролируемому ландшафту угроз. Этот переход усложняет обнаружение, расследование и атрибуцию атак, особенно для организаций, в которых используются популярные мессенджеры, игровые клиенты и криптовалютные приложения.

Краткая предыстория

Исходный код KPOT впервые появился на форумах BlackHat в 2018 году. Позднее код был продан на аукционе UNKN физическому лицу, связанному с группой REvil, что положило начало приватизации и дальнейшей переработке проекта. В результате этой трансформации появилось семейство Koi, которое, по сути, не является простой ребрендинг-версией KPOT, а представляет собой обновлённую, модульную структуру вредоносного ПО.

«Koi является не просто ребрендированной версией KPOT, а скорее обновленной и модульной структурой вредоносного ПО.»

Архитектура и ключевые компоненты

Koi работает на платформе Windows и состоит из трёх основных компонентов, каждый из которых выполняет чётко определённые функции:

  • KoiLoader — двоичный файл на C++, ответственный за начальную загрузку. Он использует методы шифрования для сокрытия своей деятельности, динамически разрешает вызовы Windows API через пользовательский алгоритм хэширования и расшифровывает последующую полезную нагрузку.
  • KoiBackdoor — расшифровываемая и загружаемая KoiLoader компонента. Проводит предварительную проверку окружения (включая определение, находится ли система в составе Содружества Независимых Государств, и запущена ли в виртуальной среде). Выполняет роль менеджера: передаёт полезную нагрузку KoiStealer и принимает дополнительные команды от злоумышленников.
  • KoiStealer — основная полезная нагрузка, реализованная на .NET. Отвечает за сбор учётных данных и других данных, загрузку и исполнение дополнительных модулей, а также целевую эксфильтрацию файлов.

Поведенческие особенности и тактики скрытности

  • Ориентация на конкретные приложения, связанные с кражей учётных данных: мессенджеры, клиенты онлайн-игр, криптовалютные приложения.
  • Динамическое разрешение API с использованием пользовательского хэширования — усложняет статический анализ и сигнатурное обнаружение.
  • Проверки окружения (географические/языковые, виртуализация) — механизм «отсечки» неподходящих для злоумышленников целей и анализаторов.
  • Снижение следов на диске: обработка и фильтрация данных преимущественно в памяти, что уменьшает количество физических логов и артефактов.

Мультиплатформенность: появление KoiFusion для macOS

Семейство Koi расширило своё влияние и на macOS. Вариант, известный как KoiFusion, впервые зафиксирован примерно в марте 2025 года. Это подчёркивает адаптивность проекта: архитектура и методы взаимодействия с C2 имеют общие черты как в Windows-, так и в macOS-вариантах.

Оба варианта включают проверку языка операционной системы хоста, однако поведение по умолчанию при проверке языка может различаться. Несмотря на платформенные различия, сохраняется согласованная структура управления и связи с инфраструктурой злоумышленников.

Последствия для ландшафта кибербезопасности

Эволюция от публичного KPOT к приватному, модульному Koi указывает на несколько важных тенденций угроз:

  • Сдвиг в сторону более закрытых, коммерчески управляемых или «по приглашениям» экосистем вредоносного ПО, что делает их менее заметными и труднее отслеживаемыми.
  • Комплексная модульная архитектура упрощает адаптацию к новым целям и платформам, повышая устойчивость кампаний злоумышленников.
  • Тактики уменьшения следов (в памяти, проверки окружения) усложняют обнаружение традиционными средствами безопасности и затрудняют атрибуцию.

Рекомендации для организаций

Учитывая особенности Koi и его родственников, экспертная защита должна учитывать следующие практики:

  • Усилить мониторинг поведения процессов и подозрительных механизмов динамического разрешения API, а также обращений, типичных для загрузчиков.
  • Развернуть и настроить EDR/IDS, способные обнаруживать паттерны команд и аномалии в памяти, а не только на диске.
  • Ограничивать распространение привилегированных учётных данных и использовать многофакторную аутентификацию в критичных приложениях (особенно в мессенджерах, игровых клиентах и крипто-кошельках).
  • Обмениваться показателями угроз и индикаторами компрометации (IoC) между организациями и сообществами для повышения коллективной осведомлённости.

Вывод

Koi демонстрирует, как оригинальные публичные проекты превращаются в более скрытные, модульные и адаптируемые угрозы. Появление мультиплатформенных вариантов, таких как KoiFusion, и внедрение методов, снижающих видимость следов на диске, делают эту семейство вредоносного ПО особенно опасным. Для противодействия необходима комбинированная стратегия — от улучшения инструментов мониторинга до оперативного обмена информацией между секторами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: