В апреле 2025 года Microsoft закрыла 121 уязвимость в своих продуктах, однако только одна из них, CVE-2025-29824, на тот момент использовалась в реальных атаках. Эксплуатация уязвимости велась через вредоносную программу PipeMagic, впервые обнаруженную в декабре 2022 года в кампании с участием программы-вымогателя RansomExx. Тогда жертвами стали промышленные предприятия в Юго-Восточной Азии, а проникновение осуществлялось через уязвимость CVE-2017-0144. Загрузчиком служила поддельная версия популярной утилиты Rufus, а сам бэкдор работал как инструмент удалённого администрирования и как сетевой шлюз, позволяя выполнять широкий спектр команд.
Спустя два года PipeMagic вновь проявил себя — в октябре 2024 года он применялся против организаций в Саудовской Аравии. В этот раз злоумышленники отказались от эксплуатации известных дыр и сделали ставку на социальную инженерию: жертвам предлагали поддельный клиент ChatGPT. Программа, написанная на Rust с использованием фреймворков Tauri и Tokio, при запуске отображала пустое окно, но на деле извлекала зашифрованный массив и исполняла встроенный шеллкод. Для усложнения анализа использовалось хеширование API через FNV-1a и динамическое разрешение функций. Уникальной особенностью PipeMagic стало создание именованных каналов связи (pipes) для передачи зашифрованных данных, которые связывались с локальным адресом 127.0.0.1:8082. Для загрузки дополнительных модулей использовался домен в облаке Microsoft Azure.
В январе 2025 года новые заражения были зафиксированы в Саудовской Аравии и Бразилии. На этот раз загрузчиком служил файл справки Windows с расширением .mshi, исполнявшийся через msbuild. Он содержал обфусцированный C#-код, шифрование RC4 и последующую инъекцию шеллкода с помощью WinAPI EnumDeviceMonitor. Параллельно фиксировались и другие методы: поддельное приложение ChatGPT, собранное в 2024 году и повторно применённое в 2025-м, а также DLL-хайджекинг — подмена библиотек, которые загружал легитимный исполняемый файл (например, GoogleUpdate). В таком варианте вредоносный DLL-файл при инициализации читал и расшифровывал дополнительный код, внедрял его в память и запускал.
Сам бэкдор сохранял архитектуру прошлых лет: генерировал случайные 16 байт для имени канала, взаимодействовал через 127.0.0.1:8082 и подключал плагины. Однако исследователи выявили и новые модули. Один отвечал за асинхронную работу с файлами через I/O completion ports, поддерживая открытие, чтение, запись и блокировку операций. Другой выступал загрузчиком дополнительных полезных нагрузок в 64-битных системах, используя экспортируемую функцию DllRegisterService для управления командами. Третий, инжектор, внедрял .NET-приложения, обходя систему AMSI за счёт подмены функций AmsiScanString и AmsiScanBuffer, что позволяло скрыть запуск от защитных механизмов Windows.
После проникновения злоумышленники активно перемещались по сети и искали данные учётных записей. В телеметрии зафиксирован случай, когда под именем dllhost.exe запускалась утилита ProcDump для выгрузки памяти процесса LSASS, что позволяло извлечь пароли и использовать их для дальнейшего продвижения по инфраструктуре. Именно такой способ упоминался Microsoft в описании атак с применением CVE-2025-29824.
Анализ кампаний показал, что в 2025 году PipeMagic использовался против организаций в разных странах и сохранил большую часть изначальных функций, но получил новые техники загрузки и модули, усложняющие детектирование и анализ. Совместное исследование BI.ZONE и Лаборатории Касперского позволило проследить его путь от первых атак 2022 года до свежих инцидентов в Бразилии и Саудовской Аравии. Несмотря на отсутствие радикальных изменений в самом бэкдоре, расширение арсенала загрузчиков и вспомогательных модулей демонстрирует адаптацию операторов и стремление к повышению устойчивости их кампаний.