Дослідники виявили новий Rust-бекдор під назвою ChaosBot, який використовує Discord-аккаунти і канали як канал команд-і-контролю (C2), поширюється через фішингові LNK-шляхи й сідує DLL через легітимні бінарі (sideload). Паралельно розвивається сімейство «Chaos» — включно з C++-рансом, що додає деструктивні можливості (видалення великих файлів) та функцію підміни адрес у буфері обміну для викрадення криптовалюти.
Як працює ChaosBot: оператори отримують доступ до інфікованих машин і створюють у Discord канали під ім’я комп’ютера жертви; бот читає ці канали й виконує команди. Підтримувані команди включають shell (виконання команд через PowerShell), scr (знімки екрана), download`/`upload (перекидання файлів).
Вектори розповсюдження: спостерігали фішинг із шкідливою Windows-ярликом (LNK), що запускає PowerShell-скрипт для завантаження шкідника; також використовуються сідло-DLL (msedge_elf.dll) через підроблений або зловмисно використаний бінар Microsoft Edge (`identity_helper.exe`). Після встановлення шкідник виконує розвідку та встановлює fast reverse proxy (FRP) для зворотного тунелювання й збереження доступу.
Евазія: нові варіанти патчать ETW (Event Tracing for Windows), змінюючи ntdll!EtwEventWrite (щоб заглушити відстеження), і перевіряють MAC-адреси на ознаки віртуальної машини — при виявленні VM шкідник виходить.
Chaos-C++ рансомваре / деструктивні можливості: окрема лінійка — Chaos-C++ — додає режим повного знищення (видалення файлів понад поріг) і підмінює крипто-адреси в буфері обміну, щоб перенаправляти платежі. Розповсюджується під виглядом фальшивих утиліт (напр., «System Optimizer») і перед виконанням перевіряє %APPDATA%\READ_IT.txt, щоб не повторно запускатися; при роботі з правами адміністратора відключає відновлення системи й шифрує/видаляє файли за встановленими правилами (залежно від розміру файлів).
Інструменти та помилки у захисті: атакуючі також пробували використовувати VS Code Tunnel як другий канал доступу. Такі елементи роблять кампанії стійкішими та складнішими для виявлення і відключення.
ChaosBot уперше зафіксовано восени 2025 року в середовищі фінансової установи; постраждалими виявилися мережі, де були скомпрометовані креденшали VPN та переадресовані служби AD. Еволюція сімейства «Chaos» від бекдора до рансомваре-загрози з функціями крадіжки криптовалюти і деструкції файлів ілюструє загальну тенденцію — зростання складності атак, інтеграція декількох каналів управління (Discord, FRP, потенційно VS Code Tunnel) та використання «living off the land» технік (sideloading легітимних бінарів).
ІТ-групам: негайно перевірити журнали з’єднань Discord-ботів/зовнішніх проксі, виявити незвичні FRP-тунелі й ретельно обмежити права сервісних облікових записів (особливо в AD). Заборонити виконання LNK-файлів від неперевірених джерел і контролювати запуск бінарів з нетиповими параметрами.
MFA + ключі: посилити багатофакторну автентифікацію для VPN/AD, обмежити використовування сервісних облікових записів з широкими правами.
EDR/ETW моніторинг: оновити детекції для технік патчування ETW і додати поведінкові правила для виявлення підміни буферу обміну й сідло-DLL.
Бек-апи й план відновлення: мати офлайн-резервні копії і відпрацьований план відновлення, щоб мінімізувати наслідки деструктивного сценарію.
