Urelas: троянец-шпион для корейских карточных игр

Urelas — это разновидность ВПО, которая уже более десяти лет используется для целевого наблюдения за корейскими card games. В отличие от более универсальных RATs, этот threat действует как специализированный trojan: он отслеживает процессы, связанные с игровыми clientами, делает screenshots и передает собранные данные на C2-server.

Свежий sample, обнаруженный в апреле 2026 года, показывает, что базовая architecture Urelas практически не изменилась. При этом активность malware резко выросла: за короткий период было зафиксировано более 3100 unique SHA256 identifiers, а именно апрель 2026 года выделился всплеском новых detections.

Как работает Urelas

Принцип работы Urelas привязан к конкретным gaming clientам, включая Badugi, Poker и Hoola. Malware идентифицирует их по связанным executable files, а затем начинает наблюдение за процессами и экранной активностью.

Собранные изображения игрового окна сжимаются в формат JPEG/JFIF 6003 и передаются на C2 endpoints. Основная часть таких endpoints размещена у корейских internet providers, включая SK Broadband и DLIVE.

Техническая структура

Анализ sample показывает многоуровневую архитектуру. Родительский executable создает промежуточные executables и связанные configuration files, включая:

• MSMP state file с bit processing;
• HGDraw.dll — auxiliary DLL, которая используется для создания screenshots.

Особое внимание исследователей привлекла HGDraw.dll: она сжата с использованием PECompact2 и датируется концом 2013 года. Это указывает на то, что отдельные components malware устарели, однако по-прежнему остаются эффективными для своей узкой задачи.

Инфраструктура управления и закрепление в системе

C2 architecture Urelas основана на specific IP addresses и наборе endpoint’ов, через которые злоумышленники получают обратно собранную информацию. Такая схема позволяет malware стабильно передавать данные о host и действиях пользователя.

Механизм persistence оставляет следы в Windows Registry, что обеспечивает сохранение Urelas на зараженных computers даже после перезапуска системы.

Почему Urelas выделяется среди других угроз

Главная особенность Urelas — его нишевый характер. Это не универсальный trojan, а инструмент, созданный под конкретный сценарий: наблюдение за корейскими card games и сбор информации, связанной именно с этими applications.

Подобная направленность подчеркивает важный для специалистов по cybersecurity вывод: оценивать современные threats нужно не только по общим признакам, но и по их behavior patterns в конкретной среде применения.

Постоянный monitoring такого malware необходим из-за его уникальных operational characteristics и специфической strategy targeting в сфере online gaming в South Korea.

Вывод

Urelas остается примером долгоживущего, но узкоспециализированного ВПО. Несмотря на возраст отдельных components и сохранение прежней architecture, malware продолжает демонстрировать высокую эффективность в своей нише: целевое наблюдение за игровыми clientами, сбор screenshots и передача данных на C2 server. Для отрасли cybersecurity это еще одно напоминание о том, что даже устаревшие на вид инструменты могут оставаться опасными, если они точно заточены под конкретную цель.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.