PureCrypter и DarkTrack RAT: LLM-кампания атакует инфраструктуры

Аналитики F6 Threat Intelligence зафиксировали кампанию кибератак, в которой злоумышленники из группы LLM применяют связку инструментов PureCrypter и DarkTrack. Ключевым индикатором компрометации стал загруженный в общедоступную онлайн-sandbox архив «Продукт-44 DSP.rar» (MD5: d3b6c14b4bbad6fd72881ff6b88a0de4), обнаруженный 21 ноября 2025 года.

«Файл «Продукт-44 DSP.rar» был загружен в общедоступную online-песочницу и послужил ключевым показателем компрометации для атаки», — сообщают эксперты F6 Threat Intelligence.

Ключевые факты

• Дата обнаружения: 21 ноября 2025 года.
• Организация, обнаружившая кампанию: F6 Threat Intelligence.
• Файл-индикатор: «Продукт-44 DSP.rar» (MD5: d3b6c14b4bbad6fd72881ff6b88a0de4).
• Используемые инструменты: PureCrypter (адаптируемый шифровальщик/криптер) и DarkTrack (RAT — троян удалённого доступа).
• Злоумышленник: отмечается активность группы LLM.

Что такое PureCrypter и DarkTrack

PureCrypter — это адаптируемый криптер, который запутывает полезную нагрузку и меняет её сигнатуры, чтобы затруднить детектирование средствами защиты. Такой подход позволяет доставлять вредоносный код в целевые системы без срабатывания традиционных сигнатурных средств обнаружения.

DarkTrack идентифицирован как RAT (Remote Access Trojan), предоставляющий злоумышленникам постоянный доступ к скомпрометированным системам. На практике это означает возможность удалённого выполнения команд, сбора и эксфильтрации данных, установки дополнительных модулей и организации дальнейшего распространения внутри сети жертвы.

Тактика и последствия

Комбинация криптера и RAT указывает на многоэтапную и продуманную стратегию атакующих. Сначала payload маскируется и доставляется в систему жертвы посредством шифрующих приёмов PureCrypter, после чего активируется DarkTrack, обеспечивающий длительный контроль и доступ к данным.

• Тактика уклонения от обнаружения: использование адаптивного шифрования для обхода анти-вирусов и EDR.
• Цели атак: получение постоянного доступа, эксфильтрация и манипуляция данными, возможное развёртывание дополнительных полезных нагрузок.
• Организация атак: признаки координированных операций и эксплуатации уязвимостей для проникновения и расширения доступа.

Значение для инфраструктуры безопасности

Расследование F6 показывает, что группа LLM продолжает развивать тактики, позволяющие обходить защиту и удерживать контроль над компрометированными ресурсами. Это представляет собой постоянную угрозу для корпоративных и государственных инфраструктур, где последствия могут включать утечку конфиденциальной информации и нарушение операций.

Что следует предпринять

Эксперты подчёркивают необходимость усиленного мониторинга и быстрого реагирования. Рекомендации для организаций и команд безопасности включают:

• Включить анализ и мониторинг загрузок в публичные и приватные sandbox, отслеживать появление новых IoC (имён файлов, хэшей, доменов и IP).
• Обновить политики EDR/антивирусов с учётом эвристических и поведенческих детекторов, а не только сигнатур.
• Проверить и сегментировать сеть, ограничить привилегии и усилить контроль доступа для критичных систем.
• Интегрировать threat intelligence и делиться IoC с отраслевыми партнёрами и CERT.
• Проводить регулярные проверки на предмет присутствия RAT и аномальной сетевой активности, а также планировать сценарии инцидент-реагирования.

Вывод

Случай с архивом «Продукт-44 DSP.rar» и связкой PureCrypter + DarkTrack демонстрирует, что злоумышленники из LLM используют современные методы уклонения от детектирования и нацелены на длочный контроль над инфрастуктурой жертв. Непрерывный мониторинг, оперативный анализ и обмен информацией — ключевые меры для снижения рисков и своевременного обнаружения подобных кампаний.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.