Опасный троян Millenium RAT заразил более 62 тысяч компьютеров в 160 странах

Троян удалённого доступа Millenium RAT стремительно распространяется по миру и уже заразил 62 289 компьютеров с Windows более чем в 160 странах. По данным Group-IB, почти 40 тысяч заражений пришлись только на первый квартал 2026 года, что вывело это вредоносное ПО в число самых заметных угроз последних месяцев.

Group-IB связывает масштабную кампанию с кластером Y2K Operators. Злоумышленники не используют сложные способы проникновения, а заставляют пользователей самостоятельно запускать заражённые файлы. Для этого применяются архивы и программы, замаскированные под популярные утилиты, игровые инструменты, документы и пиратское программное обеспечение.

Стоит обратить внимание, что большая часть заражений начинается после добровольного запуска файла самим пользователем, а не после эксплуатации сложных технических уязвимостей.

Исследование показало, что нынешняя линейка Millenium RAT серьёзно отличается от ранних выпусков. Если раньше вредоносная программа создавалась на платформе .NET, то серия 4.* полностью написана на языке C++. После такой переработки троян перестал зависеть от установленного .NET Framework и стал менее заметен для части защитных продуктов.

Одной из необычных особенностей программы осталось применение Telegram Bot API. Вместо собственной инфраструктуры злоумышленники используют возможности мессенджера для передачи команд заражённым компьютерам. Это сокращает расходы авторов вредоносного ПО и упрощает управление большим числом устройств.

Основные возможности Millenium RAT

• кража паролей и файлов cookie;
• сбор данных браузеров и криптовалютных кошельков;
• получение информации из Telegram и Discord;
• удалённое управление заражённым компьютером;
• запуск PowerShell и командной строки.

Group-IB сообщает, что Millenium RAT распространяется по модели Malware-as-a-Service. Автор программы под псевдонимом ShinyEnigma предлагает доступ к своему продукту по подписке. Первый месяц использования стоит 50 долларов, затем ежемесячный платёж составляет 10 долларов, а бессрочная лицензия продаётся за 90 долларов. Невысокая цена заметно расширяет круг желающих воспользоваться подобным инструментом.

После запуска программа извлекает встроенную конфигурацию, расшифровывает её и соединяется с Telegram Bot API. Затем оператор получает почти полный контроль над заражённой системой и может выполнять широкий набор действий без физического доступа к компьютеру. После проникновения в систему троян способен:

• делать снимки экрана;
• записывать звук с микрофона;
• включать веб-камеру;
• фиксировать нажатия клавиш;
• загружать и запускать новые файлы.

Для сохранения доступа программа копирует себя в каталог AppData, создаёт запись автозапуска в системном реестре Windows и продолжает работу после каждой перезагрузки. Передача команд происходит через сообщения Telegram, а выполнение операций строится на стандартных функциях операционной системы.

Отмечается, что злоумышленникам не всегда нужны сложные эксплойты. Во многих случаях им достаточно убедить человека открыть заражённый файл.

Авторы кампании стараются скрыть присутствие трояна, присваивая ему имена, похожие на системные процессы Windows. После установки вредоносное ПО может называться svchost.exe, MsEdgeUpdate.exe, setup.exe, update1.exe или Microsoft Antivirus.exe. Это осложняет обнаружение подозрительного процесса при поверхностной проверке. Для распространения используются разные приманки:

• генераторы банковских карт;
• инструменты проверки криптовалютных кошельков;
• программы для Roblox;
• кряки коммерческого ПО;
• наборы OSINT и утилиты для обхода KYC.

Исследователи обнаружили и другую схему. Операторы внедряют Millenium RAT в уже существующие вредоносные программы, билдеры троянов и наборы эксплойтов, после чего снова выкладывают их на профильных площадках. В итоге сами злоумышленники, скачивающие подобные инструменты, становятся жертвами заражения.

В одной из кампаний применялась многоступенчатая цепочка. Пользователь открывал файл, внешне похожий на PDF-документ. Затем незаметно запускался PowerShell, который загружал вспомогательные компоненты, активировал троян, открывал настоящий PDF для отвлечения внимания и удалял следы выполненных действий. Признаки распространения Millenium RAT:

• маскировка под популярные программы;
• использование архивов с пиратским ПО;
• запуск через поддельные документы;
• применение Telegram для управления;
• повторное заражение вредоносных наборов.

Ранее сообщалось, что владельцы компьютеров Apple столкнулись с новой волной атак ClickFix, при которой пользователи сами запускают вредоносное ПО, считая, что проходят обычную CAPTCHA-проверку. Злоумышленники убеждают жертву открыть приложение «Терминал» и вставить туда команду якобы для подтверждения, что она не робот. После этого macOS автоматически загружает DMG-образ, монтирует его и запускает инфостилер Atomic macOS Stealer, предназначенный для кражи данных. Исследователи отмечали, что подобная схема представляет угрозу и для российских пользователей, поскольку поддельные страницы распространяются через сайты самых разных регионов.

Эксперты редакции CISOCLUB заявили, что популярность Millenium RAT показывает простую закономерность. Авторы вредоносного ПО давно делают ставку не на сложность кода, а на массовость распространения и удобство использования. Недорогая подписка снижает порог входа для преступников и расширяет аудиторию подобных сервисов.

Использование Telegram убирает необходимость разворачивать собственную инфраструктуру управления. Не меньшую опасность представляет распространение через пиратские программы, поскольку пользователи сами запускают заражённые файлы. По мнению редакции, подобные кампании ещё долго будут приносить результат, пока сохраняется высокий интерес к нелегальному программному обеспечению.