UAT-11795: многоэтапная кампания с RAT, WLDR и кражей криптоактивов
С середины 2025 года финансово-мотивированная, преимущественно русскоязычная хакерская группа UAT-11795 ведёт оппортунистические атаки против пользователей в США и Европе. Злоумышленники комбинируют социальную инженерию, работу в памяти и сложную инфраструктуру C2, чтобы оставаться незамеченными. В их арсенале — кастомные инструменты удалённого доступа, многоступенчатые загрузчики и специализированные стилеры.
Методы распространения и первоначальный доступ
Группировка использует широкую сеть троянизированных приложений — от инструментов для разработчиков и средств ИТ-администрирования до платформ корпоративного взаимодействия и игрового софта. Цель — охватить как можно больше профилей жертв. Первичный контакт часто происходит через технику социальной инженерии ClickFix, которая вынуждает пользователя запустить вредоносный HTA-файл.
«Схема ClickFix выглядит как безобидная подсказка или обновление, но приводит к исполнению вооружённого скрипта, открывающего дорогу всей цепочке атаки», — поясняют аналитики, знакомые с тактикой группы.
После выполнения HTA-файла на машину доставляется троянизированный установщик, который закрепляет соединение со злоумышленником через Telegram-бота. С его помощью операторы получают мгновенное уведомление о каждом новом имплантированном устройстве.
Инфраструктура и маскировка C2
Для размещения полезных нагрузок и поддержания постоянной связи с заражёнными узлами UAT-11795 развернула инфраструктуру, имитирующую легитимный трафик. Домены eorthopaedics.com и sastoro.com служат платформами хостинга, где вредоносный контент соседствует с обычным материалом, затрудняя детектирование. Основной C2-сервер Starland RAT извлекает уникальные идентификаторы из аппаратного обеспечения жертв для персонализированного взаимодействия. В качестве резервного механизма разрешения доменов используется смарт-контракт Polygon, который обеспечивает динамическую маршрутизацию и устойчивость к блокировкам.
Технический арсенал
Ключевые инструменты группировки демонстрируют высокую степень проработки и обхода защитных решений.
- Starland RAT — основанный на Python инструмент удалённого доступа, работающий исключительно в памяти. Перед выполнением вражеских процедур он сверяет имя пользователя и компьютера со списками известных песочниц. RAT собирает данные для разведки, ворует учётные записи и поддерживает связь с C2 даже в неблагоприятных условиях.
- WLDR agent — PowerShell-имплант, также не оставляющий следов на диске. Использует зашифрованный C2-канал, систему очередей задач и особый механизм выполнения Runspace, способный загружать дополнительные модули. Агент обеспечивает контроль в реальном времени, включая сбор информации об установленных антивирусах и аппаратных идентификаторах.
- Дополнительные полезные нагрузки: CastleStealer — инструмент для кражи конфиденциальных данных из браузеров и криптокошельков; Remcos RAT — известный коммерческий вредонос, расширяющий возможности шпионажа.
Тактики обхода и усложнение анализа
Загрузчики shellcode, задействованные в кампании, динамически разрешают Windows API и включают техники уклонения от антивирусных сканеров. В связке с проверками на антианализ и работой исключительно в оперативной памяти это позволяет UAT-11795 длительное время сохранять присутствие в заражённой среде без записи на диск.
Заключение
UAT-11795 реализует многоэтапную стратегию, в которой социальная инженерия ClickFix, самописные RAT, изощрённая C2-инфраструктура с резервированием через Polygon и глубокая разведка на хосте слиты в единую цепочку. Сочетание оппортунистической модели распространения и сложного арсенала делает группировку заметной и устойчивой угрозой для пользователей в США и Европе.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



