Новый троян PylangGhost от северокорейской группы Famous Chollima
В мае 2025 года специалисты Cisco Talos зафиксировали новую опасную угрозу — троян удаленного доступа (RAT) на базе Python под названием PylangGhost. Этот вредоносный инструмент используется исключительно северокорейской хакерской группой Famous Chollima, известной также как Wagemole. Новая версия обладает функционалом, схожим с ранее известным GolangGhost RAT, но при этом сохраняет особенности и новые возможности, напрямую ориентируясь на специфические цели.
Цели и география атак
PylangGhost преимущественно нацелен на пользователей Windows, в то время как для владельцев устройств на macOS по-прежнему применяется вариант вредоноса на Golang. Системы Linux целенаправленно исключены из текущих операций.
Основная аудитория атак — специалисты и профессионалы, связанные с криптовалютами и блокчейн-технологиями. Наибольший массив атак фиксируется в Индии, однако представители Cisco Talos не обнаружили свидетельств воздействия PylangGhost на пользователей Cisco.
Методы распространения и техники влияния
Северокорейская группа Famous Chollima с середины 2024 года ведет активные кампании, используя социальную инженерию:
- создание поддельных объявлений о приеме на работу;
- привлечение жертв посредством страниц с тестами на проверку навыков.
Пользователям таких ресурсов предлагается выполнить вредоносные командные строки, якобы необходимые для установки драйверов. На самом деле это является ключевым этапом в распространении RAT.
Техническая реализация заражения
Атака предполагает ввод команд через PowerShell или curl, которые загружают ZIP-файл с компонентами PylangGhost и Visual Basic скрипт. После выполнения скрипты распаковывают библиотеки Python и запускают троян через переименованный интерпретатор Python с необычным именем — nvidia.py.
PylangGhost построен из шести отдельных модулей на Python. При первом запуске основное внимание уделяется:
- созданию записи в реестре Windows для обеспечения устойчивости к перезагрузкам;
- установлению стабильного соединения с сервером команд и управления (C2).
Особенности функционала и защита связи с C2
Троян использует конфигурационный файл, импортирующий последовательности команд, идентичные тем, что встречаются в GolangGhost. Среди ключевых возможностей — удаленный доступ и кража конфиденциальных данных, включая:
- файлы cookie из более чем 80 популярных браузерных расширений, в числе которых Metamask и 1Password;
- другие чувствительные данные, значимые для криптоэкосистемы.
Для обмена информацией с C2 используется шифрование RC4, которое скрывает трафик, передаваемый по незашифрованному протоколу HTTP. Каждый пакет:
- содержит контрольную сумму для проверки целостности;
- включает ключ шифрования, встроенный внутрь пакета, что усиливает безопасность передачи.
Различия и эволюция версий RAT
Анализ конфигурационных файлов выявил явные отличия между версиями, написанными на Python и на Golang. Среди них — различные индикаторы версий, что указывает на возможное развитие и диверсификацию вредоноса по разным направлениям. Точная причина использования двух языков программирования остается неясной, однако это может отражать попытки адаптироваться к меняющейся среде угроз.
Заключение
Быстрая эволюция PylangGhost и его диверсификация свидетельствуют о высоком уровне адаптивности современных угрожающих инфраструктур, особенно в финтех-секторе и среди специалистов по криптовалютам. Группа Famous Chollima продолжает оттачивать свои инструменты и тактики, фокусируясь на финансовой эксплуатации и кибершпионаже.
Эксперты рекомендуют специалистам в области блокчейна и криптовалют быть предельно осторожными с неподтверждёнными источниками программного обеспечения и ссылками, особенно в объявлениях о работе и на тематических тестовых платформах.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
