Прекращение деятельности VenomRAT: TA558 переключился на Remcos и XWorm

VenomRAT — троян удаленного доступа (RAT), который с 2020 года используется разными злоумышленниками, но реальная волна активности была зафиксирована Proofpoint с 2022 года. Недавний сбой этой вредоносовной платформы и последовавшая смена инструментов у группировки TA558 демонстрируют, как быстро меняется ландшафт киберугроз и как злоумышленники адаптируются к давлению со стороны служб кибербезопасности.

Что такое VenomRAT

VenomRAT — производное от открытого проекта Quasar RAT, дополненное элементами из других источников. Основные особенности и векторы распространения:

• используется для удаленного доступа и управления заражёнными машинами;
• широко применяется в фишинговых кампаниях, преимущественно по электронной почте;
• часто ассоциируется с хакерской группой TA558, нацеленной на гостиничный сектор.

Хронология и динамика использования

Ключевые этапы развития активности VenomRAT по данным отчёта:

• 2020 — появление VenomRAT;
• 2022 — существенный рост активности, отмеченный Proofpoint;
• с середины 2024 года до лета 2025 года — дальнейшее увеличение использования VenomRAT как среди приписываемых, так и не приписываемых злоумышленников;
• лето–осень 2025 года — серьёзный сбой в работе VenomRAT, который существенно повлиял на его развертывание;
• с сентября 2025 года Proofpoint не сообщала о случаях использования VenomRAT в активных кампаниях;
• в результате TA558 переключилась на альтернативные RAT — в частности, Remcos RAT и XWorm; с октября наблюдается снижение общей активности.

Последствия сбоя и смена инструментов

Сбой VenomRAT вызвал немедленную реакцию злоумышленников: вместо попыток восстановить прежнюю инфраструктуру они перешли на готовые решения третьих сторон. Это дало следующие последствия:

• быстрая миграция на Remcos RAT и XWorm;
• временное снижение общей активности после октября 2025 года;
• увеличение вероятности использования новых комбинаций полезных нагрузок и загрузчиков, чтобы обойти существующие механизмы обнаружения.

Анализ и выводы

Прекращение активности VenomRAT не означает ослабления угрозы — напротив, это пример того, как криминальные акторы адаптируются. Ключевые выводы:

• злоумышленники готовы оперативно менять инструменты при сбоях или повышенном риске обнаружения;
• адаптация ведёт к постоянной эволюции тактик, техник и процедур (TTP), что усложняет защиту;
• организациям, особенно в целевых отраслевых сегментах (например, гостиничный сектор), критично поддерживать актуальные механизмы защиты, мониторинга и реагирования на инциденты;
• важна проактивная разведка угроз (threat intelligence) для отслеживания переходов между платформами и своевременной корректировки правил защиты.

«Прекращение деятельности VenomRAT говорит о том, что киберпреступники, использующие эту RAT, теперь адаптируются к ландшафту, переключаясь на новые полезные нагрузки.»

Таким образом, инцидент с VenomRAT — это не просто «исчезновение» одной вредоносной платформы, а показатель динамичной адаптивности злоумышленников. Защитникам следует ожидать дальнейших замен инструментов и готовиться к появлению новых связок угроз, сочетая технические меры и оперативную разведку.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Прекращение деятельности VenomRAT: TA558 переключился на Remcos и XWorm".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.