Специалисты из глобального центра исследований и анализа угроз «Лаборатории Касперского» 21 ноября 2025 года представили детальный разбор вредоносного проекта, который уже успел заразить тысячи машин по всему миру. Сеть зомби-устройств получила название Tsundere и ориентирована исключительно на пользователей Windows. Главная приманка – фальшивые установщики для самых востребованных шутеров (Valorant, Counter-Strike 2 и Rainbow Six). Стоит один раз скачать «крякнутую» версию с торрента или сомнительного форума, и компьютер превращается в незаметного солдата чужой армии.
Максимальная активность зафиксирована в Мексике и Чили, однако отдельные случаи проникновения обнаружили и в России и Казахстане, несмотря на встроенную в код защиту от заражения устройств в странах Содружества. По словам экспертов, ботнет продолжает активно расти, и его создатели явно не собираются останавливаться.
Особенность Tsundere – использование смарт-контрактов в блокчейне Ethereum для хранения и смены адресов командных серверов. Такой ход делает инфраструктуру практически неуязвимой к обычным методам подавления: даже если один узел выключат, новый адрес мгновенно подтянется из блокчейна. Управление всей сетью и продажа доступа к заражённым машинам происходят через единую веб-панель, где всё организовано максимально удобно для заказчиков.
Распространение ведётся двумя основными способами. Первый – классический MSI-установщик, который выглядит как обычный инсталлятор игры. Второй – PowerShell-скрипты, которые жертва запускает самостоятельно, поверив в инструкцию «как получить бесплатный скин». После запуска любого из этих вариантов на компьютер тихо оседает имплант, способный в фоновом режиме выполнять произвольный JavaScript-код. Связь с управляющими серверами поддерживается через протокол WebSocket, что позволяет операторам мгновенно отдавать команды тысячам машин одновременно.
Анализ кода и комментариев в панели управления указывает на русскоязычное происхождение разработчиков. Более того, специалисты нашли прямые пересечения с ранее известным стилером 123 Stealer, который уже давно продаётся на теневых площадках. Это намекает на то, что перед нами не новички, а опытная команда, которая просто вывела свой продукт на новый технический уровень.
Дмитрий Галов, руководитель российского подразделения Kaspersky GReAT, отметил, что Tsundere демонстрирует, насколько быстро преступники осваивают передовые технологии. Переход на Web3-инфраструктуру сделал ботнет гибким и живучим, а маскировка под игровые установщики обеспечивает постоянный приток новых жертв. Эксперт подчеркнул, что распространение продолжается, а значит в ближайшие недели и месяцы стоит ждать новых волн заражений, особенно среди подростков и молодых людей, которые ищут бесплатные версии популярных тайтлов.
Оригинал публикации на сайте CISOCLUB: "Новый ботнет Tsundere превращает компьютеры геймеров в послушную армию под управлением русскоязычных хакеров".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.