СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
17 марта
#ИБ

RCtea: новый IoT-ботнет с шифрованием, Telnet-брутфорсом и антиобнаружением

Ботнет RCtea, обнаруженный исследователями, активен с конца декабря 2025 года и представляет собой современную и устойчивую к обнаружению киберугрозу, нацеленную преимущественно на устройства Интернета вещей (IoT). Его особенности — сложные механизмы коммуникации, многослойное шифрование и средства уклонения от анализа — делают RCtea особенно опасным для сетей с большим числом подключённых устройств.

Краткая выдержка из отчёта

«Ботнет RCtea … активен с конца декабря 2025 года и характеризуется своими сложными механизмами коммуникации и антиобнаружения».

На какие устройства нацелен RCtea

RCtea преимущественно атакует устройства IoT — маршрутизаторы, камеры и другие компактные сетевые устройства, специально разработанные для архитектур ARM и MIPS. В отчёте отмечается высокий процент заражений среди устройств, которые часто остаются без обновлений и имеют слабые или заводские учетные данные.

Механизм распространения

Основной вектор — атаки грубой силы через Telnet. Злоумышленники перебирают пароли и используют слабые настройки авторизации, чтобы получить несанкционированный доступ и добавить устройства в ботнет. После компрометации Trojan RCtea устанавливает свои модули и приступает к коммуникации с инфраструктурой управления.

Особенности запуска и уклонения от анализа

  • Условный запуск: вредоносное ПО активирует ключевые функции только при получении определённого параметра, что препятствует детектированию по поведению в тестовой среде.
  • Защита от нехватки памяти: реализована система Out-Of-Memory (OOM), которая при недостатке памяти приоритизирует скорость выполнения вредоносных процессов, снижая вероятность их прерывания.
  • Фрагментация команд: данные аутентификации и команды разбиты на отдельные пакеты и дополнительно зашифрованы, что усложняет анализ сетевого трафика.

Криптография и протоколы связи

RCtea использует несколько вариантов зашифрованных коммуникационных протоколов, включая RC4, ChaCha20 и TEA. Комбинация этих алгоритмов повышает стойкость к статическому анализу и делает дешифровку C2-трафика значительно сложнее для исследователей.

Инфраструктура управления (C2)

Инфраструктура RCtea спроектирована с акцентом на избыточность и случайность:

  • несколько наборов адресов и портов C2;
  • случайный выбор соединений Trojan’ом для сокрытия паттернов;
  • шифрованный обмен командами и аутентификацией, фрагментированный по пакетам.

Такая архитектура затрудняет блокировку и отслеживание управляющих серверов, а также вмешательство в коммуникации ботнета.

Возможности атак

RCtea способен запускать широкий спектр DDoS-атак, в том числе:

  • SYN FLOOD
  • ACK FLOOD
  • UDP FLOOD
  • TCP FLOOD

Рост числа активных узлов позволяет предположить, что операторы готовят ресурсы для более масштабных атак или коммерчески/конкурентно мотивированных кампаний.

География и масштабы активности

Мониторинг показал значительный пик активности в Китае, где тысячи устройств, описанных в отчёте как «бройлеры», активно поддерживали связи с C2-серверами. Быстрый рост числа активных узлов делает RCtea угрозой не только локального, но и глобального уровня.

Связи с ранее известными ботнетами

По ряду технологических сходств RCtea имеет общие черты с ботнетами AISURU, что может указывать на общих операторов либо заимствование кода и приёмов. Точное происхождение пока не установлено, но сходства заслуживают внимания команд мониторинга и форензики.

Рекомендации по снижению рисков

Чтобы минимизировать риски заражения и распространения RCtea, специалисты рекомендуют:

  • Отключить Telnet на всех устройствах и использовать безопасные протоколы удалённого управления (SSH или специализированные решения).
  • Сменить заводские и слабые пароли на сложные уникальные учетные данные.
  • Регулярно обновлять прошивку устройств и применять патчи безопасности.
  • Сегментировать сеть и ограничивать доступ IoT-устройств к критическим ресурсам.
  • Внедрять IDS/IPS и мониторинг аномалий трафика, обращая внимание на фрагментированный и зашифрованный трафик к неизвестным C2.
  • Блокировать известные C2-адреса и порты, вводить rate-limiting и фильтрацию аномальных соединений.
  • Проводить инвентаризацию устройств и изымать из эксплуатации устаревшие, неподдерживаемые модели.

Вывод

RCtea — это пример современной, адаптивной угрозы для IoT-экосистем. Его сочетание продвинутых криптопротоколов, механизма условного запуска и устойчивой C2-инфраструктуры делает обнаружение и нейтрализацию сложной задачей. Операторам сетей и владельцам устройств следует немедленно усилить практики безопасности и мониторинг, чтобы не допустить масштабных DDoS-кампаний и других злоупотреблений ресурсами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: