Иногда для самого громкого взлома достаточно лишь одного USB-порта.
Южнокорейская хакерская группа APT-C-06, также известная как DarkHotel, вновь напомнила о себе серией атак, обнаруженных во второй половине 2025 года. После июньской активности, когда применялись вредоносные программы с загрузкой DarkSeal, злоумышленники изменили подход. На этот раз использовались иные типы вредоносных компонентов, знакомые по атакам в начале года, при этом распространение осуществлялось через съёмные носители.
По данным 360 Threat Intelligence Center, заражение происходило при подключении к компьютерам USB-устройств, содержащих вредоносные установочные файлы, маскирующиеся под легитимные программы. В числе таких исполняемых файлов значатся установщики TrueCrypt, SanDisk, WinRAR, Adobe Reader, FlashFXP и других популярных утилит. Они выполняли установку обычного ПО, параллельно активируя вредоносный код, встроенный в ресурсы типа RC Data. Один из ресурсов содержал подлинную версию программы, второй — зашифрованный shellcode.
В процессе установки создавался скрытый файл, а исполняемый код запускался лишь при отсутствии признаков профессионального или корпоративного использования устройства. Так, при обнаружении служб удалённого доступа или системных каталогов, ассоциированных с Azure AD, вредоносный код не активировался. Вероятно, таким образом злоумышленники пытались избежать выявления на компьютерах с повышенным уровнем защиты.
Shellcode напоминал структуру компонентов DarkSeal и выполнял загрузку второй стадии — динамической библиотеки, аналогичной k1nqa.dll, применявшейся в атаках ранее. Программа анализировала, установлен ли антивирус, и на основе полученных данных формировала URL для отправки на управляющий сервер. Эта информация использовалась для динамической генерации PowerShell-скрипта, путь к которому и его содержание зависели от установленного антивируса.
Для сохранения устойчивости вредоносный код создавал задания в планировщике Windows. В зависимости от обнаруженного защитного ПО применялись разные способы создания заданий — от использования COM-интерфейсов до привилегированного выполнения PowerShell-команд.
Сценарий развития атаки оказался многоступенчатым и адаптивным, что затрудняет его обнаружение. Однако, несмотря на изменённую тактику, специалисты отмечают, что в новой кампании использовались уже известные компоненты и методы, а не оригинальные разработки. Это подчёркивает преемственность и сохраняющийся интерес группы к устоявшимся техникам.
Интересной особенностью стало то, что вредоносные файлы, обнаруженные на USB-накопителях, как правило, располагались группами. Все программы в одном носителе оказывались заражёнными. Хотя на данный момент в известных образцах не зафиксировано функций самораспространения, специалисты не исключают возможность заражения сразу нескольких установщиков при их подготовке.
Появление новых атак свидетельствует о том, что DarkHotel продолжает активно использовать проверенные методы, комбинируя их для повышения эффективности, а также уделяет внимание выбору целевой аудитории, обходя потенциально сложные для проникновения устройства.