Millenium RAT на C++: рост заражений и Telegram-C2
Millenium RAT версии 4.* демонстрирует заметную эволюцию: вредоносная программа перешла с .NET на нативное приложение на C++. Это изменение повышает устойчивость ВПО, устраняет зависимость от .NET и упрощает развертывание в различных средах.
По данным отчета, к началу 2026 года масштаб заражений резко вырос: под угрозой оказались более 62 000 конечных точек в более чем 160 странах, а только в первом квартале 2026 года было зафиксировано 39 730 заражений. Распространением вредоноса занимается группировка Y2K Operators, которую, как утверждается, возглавляет разработчик под псевдонимом shinyenigma.
Инфраструктура управления через Telegram
Ключевая особенность Millenium RAT — использование Telegram bot API для инфраструктуры управления (C2). Такой подход позволяет маскировать вредоносный трафик под обычную активность в мессенджере, что потенциально затрудняет обнаружение традиционными средствами защиты.
Именно эта схема коммуникации делает RAT особенно удобным для операторов: связь с зараженными системами выглядит внешне как легитимный сетевой обмен, а значит, может проходить мимо части сигнатурных и поведенческих механизмов контроля.
Модель MaaS и коммерциализация вредоноса
Разработчик распространяет Millenium RAT по модели Malware-as-a-Service (MaaS). Согласно отчету, продукт предлагается на следующих условиях:
- $50 за первый месяц;
- $10 за каждый последующий месяц;
- $90 за пожизненный доступ.
Такая схема снижает порог входа для злоумышленников и делает инструмент доступным для более широкой аудитории киберпреступников.
Как работает заражение
При запуске Millenium RAT загружает конфигурацию из встроенного ресурса, закодированного в Base64. Это повышает скрытность и усложняет анализ за счет обфускации.
Дальнейшая логика вредоносной программы включает один из двух сценариев:
- немедленное уведомление операторов через Telegram;
- процедуру самоинсталляции для закрепления на зараженной машине.
Во втором случае вредонос создает директорию в папке AppData пользователя и добавляет запись в реестр автозагрузки, чтобы обеспечить повторный запуск после перезагрузки системы.
Возможности RAT
Millenium RAT использует стандартные вызовы Windows API для выполнения широкого набора функций. В их числе:
- эксфильтрация данных;
- создание скриншотов;
- регистрация нажатий клавиш;
- выполнение произвольных команд.
Примечательно, что RAT не применяет сложные техники повышения привилегий. Вместо этого он полагается на легитимные запросы контроля учетных записей (UAC), добиваясь административных прав уже через действия самого пользователя.
Социальная инженерия и атаки на киберпреступников
Первоначальная доставка Millenium RAT часто строится на тактиках социальной инженерии. Для этого используются заманчивые имена файлов и темы, рассчитанные на то, чтобы спровоцировать жертву на запуск зараженного файла.
Отдельного внимания заслуживает то, что распространение не ограничивается обычными пользователями. По данным отчета, вредонос заражает и других киберпреступников, внедряясь в популярные инструменты взлома и exploit kits. В результате злоумышленники сами становятся жертвами подмены и заражают собственные системы.
Millenium RAT наглядно показывает, как современные вредоносные программы эволюционируют сразу по нескольким направлениям: от технической архитектуры и методов скрытности до коммерческой модели и каналов доставки. Сочетание C++, Telegram bot API, MaaS и социальной инженерии делает этот RAT заметной угрозой для пользователей и организаций в разных странах.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
