Linux-бэкдор атакует маршрутизаторы iKuai через поддельную библиотеку
1 июля 2026 года эксперты MalwareHunterTeam раскрыли детали новой киберугрозы, которая поднимает ставки в игре против сетевого оборудования. Речь идет о специализированном бэкдоре для Linux, нацеленном на маршрутизаторы китайского производства iKuai. Вредоносный компонент, идентифицированный как ELF-бинарный файл libjson_script.so.0, был загружен на аналитическую платформу VirusTotal из Японии. Его появление знаменует тревожный тренд — переход от массовых атак к штучным, хирургически точным операциям против конкретных моделей устройств.
Маскировка под OpenWrt: волк в овечьей шкуре
Главная опасность обнаруженного образца кроется в его изощренной маскировке. Вредоносный модуль имитирует легитимную библиотеку, ассоциирующуюся с известным open-source проектом OpenWrt. Расчет злоумышленников очевиден: системные администраторы и средства автоматического мониторинга с высокой долей вероятности примут файл за стандартный доверенный компонент, не вызывающий подозрений. Это указывает на то, что атакующие обладают глубокими знаниями архитектуры целевой прошивки.
Технический анализ: как работает угроза
Попадая на устройство, бэкдор запускает сложную цепочку инициализации и маскировки. Его основная процедура реализует отказоустойчивый механизм связи с командным центром.
- Блокировка экземпляра: Первым делом вредонос получает блокировку, гарантируя работу лишь одной своей копии. Это позволяет избежать конфликтов и лишней подозрительной активности в системе.
- Расшифровка конфигурации: Вшитые настройки обфусцированы при помощи алгоритма XOR с однобайтовым ключом (0x5A). После дешифровки конфигурация открывает детали для взаимодействия с сервером управления.
- Криптографическая защита канала: Для защищенной передачи данных инициализируется контекст AES-GCM с использованием библиотеки MbedTLS. Этот шаг превращает трафик бэкдора в непрозрачный для систем обнаружения вторжений поток.
- Рабочая среда: На устройстве создается скрытая директория
/var/tmp, которая служит плацдармом для временных файлов и операций.
Эксклюзивная цель: охота на iKuai
Уникальной чертой этого вредоноса является его ориентированность исключительно на маршрутизаторы iKuai. Это подтверждается процедурой получения идентификатора шлюза (GWID). Бэкдор целенаправленно ищет файлы, специфичные для кастомной прошивки этих устройств, и если идентификатор отсутствует, вредонос способен сгенерировать его. Такой подход не характерен для широкопрофильных ботнетов, что говорит о целевой кампании.
Управление и эксфильтрация данных
После внедрения бэкдор настраивает поток планировщика задач и входит в бесконечный цикл ожидания команд. Он отправляет маяки на сервер управления (C2), который расположен по адресу 47.80.111.129:7380. Интервал между сеансами связи по умолчанию составляет 3600 секунд, что помогает злоумышленникам оставаться незамеченными, минимизируя сетевой шум.
Ответы от C2 представляют собой зашифрованные JSON-пакеты. Их расшифровка открывает доступ к арсеналу злоумышленника. Поддерживаемые команды предоставляют почти полный контроль над зараженной системой:
- Чтение файлов: Злоумышленники могут извлекать любые файлы с устройства, включая конфигурационные данные. Лимит на чтение составляет до 512 КБ за раз, что позволяет выгружать даже довольно объемные документы.
- Асинхронное выполнение команд: Через функцию
exec_cmd_asyncбэкдор выполняет произвольные команды оболочки посредством/bin/sh -c. Результаты оперативно упаковываются в зашифрованный JSON и отправляются обратно операторам.
Такой набор возможностей обеспечивает высокий уровень контроля и указывает на то, что эксфильтрация конфиденциальных данных и закрепление в сети жертвы являются ключевыми целями атакующих.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



