Прекращение деятельности VenomRAT: TA558 переключился на Remcos и XWorm
VenomRAT — троян удаленного доступа (RAT), который с 2020 года используется разными злоумышленниками, но реальная волна активности была зафиксирована Proofpoint с 2022 года. Недавний сбой этой вредоносовной платформы и последовавшая смена инструментов у группировки TA558 демонстрируют, как быстро меняется ландшафт киберугроз и как злоумышленники адаптируются к давлению со стороны служб кибербезопасности.
Что такое VenomRAT
VenomRAT — производное от открытого проекта Quasar RAT, дополненное элементами из других источников. Основные особенности и векторы распространения:
- используется для удаленного доступа и управления заражёнными машинами;
- широко применяется в фишинговых кампаниях, преимущественно по электронной почте;
- часто ассоциируется с хакерской группой TA558, нацеленной на гостиничный сектор.
Хронология и динамика использования
Ключевые этапы развития активности VenomRAT по данным отчёта:
- 2020 — появление VenomRAT;
- 2022 — существенный рост активности, отмеченный Proofpoint;
- с середины 2024 года до лета 2025 года — дальнейшее увеличение использования VenomRAT как среди приписываемых, так и не приписываемых злоумышленников;
- лето–осень 2025 года — серьёзный сбой в работе VenomRAT, который существенно повлиял на его развертывание;
- с сентября 2025 года Proofpoint не сообщала о случаях использования VenomRAT в активных кампаниях;
- в результате TA558 переключилась на альтернативные RAT — в частности, Remcos RAT и XWorm; с октября наблюдается снижение общей активности.
Последствия сбоя и смена инструментов
Сбой VenomRAT вызвал немедленную реакцию злоумышленников: вместо попыток восстановить прежнюю инфраструктуру они перешли на готовые решения третьих сторон. Это дало следующие последствия:
- быстрая миграция на Remcos RAT и XWorm;
- временное снижение общей активности после октября 2025 года;
- увеличение вероятности использования новых комбинаций полезных нагрузок и загрузчиков, чтобы обойти существующие механизмы обнаружения.
Анализ и выводы
Прекращение активности VenomRAT не означает ослабления угрозы — напротив, это пример того, как криминальные акторы адаптируются. Ключевые выводы:
- злоумышленники готовы оперативно менять инструменты при сбоях или повышенном риске обнаружения;
- адаптация ведёт к постоянной эволюции тактик, техник и процедур (TTP), что усложняет защиту;
- организациям, особенно в целевых отраслевых сегментах (например, гостиничный сектор), критично поддерживать актуальные механизмы защиты, мониторинга и реагирования на инциденты;
- важна проактивная разведка угроз (threat intelligence) для отслеживания переходов между платформами и своевременной корректировки правил защиты.
«Прекращение деятельности VenomRAT говорит о том, что киберпреступники, использующие эту RAT, теперь адаптируются к ландшафту, переключаясь на новые полезные нагрузки.»
Таким образом, инцидент с VenomRAT — это не просто «исчезновение» одной вредоносной платформы, а показатель динамичной адаптивности злоумышленников. Защитникам следует ожидать дальнейших замен инструментов и готовиться к появлению новых связок угроз, сочетая технические меры и оперативную разведку.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
