Các nhà nghiên cứu an ninh mạng đã cảnh báo về một botnet đang mở rộng tích cực có tên Tsundere, nhắm mục tiêu vào người dùng Windows.
Hoạt động từ giữa năm 2025, mối đe dọa này được thiết kế để thực thi mã JavaScript tùy ý lấy từ máy chủ command-and-control (C2), nhà nghiên cứu Lisandro Ubiedo của Kaspersky cho biết trong một phân tích được công bố hôm nay.
Cơ chế lây nhiễm và lan truyền
Hiện tại vẫn chưa có thông tin chi tiết về cách phần mềm độc hại botnet này được phát tán; tuy nhiên, ít nhất trong một trường hợp, các threat actor đứng sau hoạt động này được cho là đã tận dụng một công cụ Remote Monitoring and Management (RMM) hợp pháp làm kênh để tải xuống một tệp MSI installer từ một trang web bị xâm nhập.
Các tên được đặt cho các malware artifact – Valorant, r6x (Rainbow Six Siege X) và cs2 (Counter-Strike 2) – cũng cho thấy implant này có khả năng được phát tán bằng cách sử dụng các mồi nhử cho game. Có thể những người dùng tìm kiếm các phiên bản lậu của các game này là mục tiêu.
Kỹ thuật cài đặt và duy trì
Bất kể phương pháp nào được sử dụng, MSI installer giả mạo được thiết kế để cài đặt Node.js và khởi chạy một loader script chịu trách nhiệm giải mã và thực thi payload chính liên quan đến botnet. Nó cũng chuẩn bị môi trường bằng cách tải xuống ba thư viện hợp pháp, cụ thể là ws, ethers, và pm2, bằng cách sử dụng lệnh "npm install".
"Gói pm2 được cài đặt để đảm bảo bot Tsundere vẫn hoạt động và được sử dụng để khởi chạy bot," Ubiedo giải thích. "Ngoài ra, pm2 giúp đạt được sự persistence trên hệ thống bằng cách ghi vào registry và tự cấu hình để khởi động lại quá trình khi đăng nhập."
Phân tích của Kaspersky về bảng điều khiển C2 đã tiết lộ rằng phần mềm độc hại này cũng được phát tán dưới dạng PowerShell script, thực hiện một chuỗi hành động tương tự bằng cách triển khai Node.js trên máy chủ bị xâm nhập và tải xuống ws và ethers làm các dependency.
Mặc dù PowerShell infector không sử dụng pm2, nhưng nó thực hiện các hành động tương tự được quan sát thấy trong MSI installer bằng cách tạo một giá trị khóa registry đảm bảo bot được thực thi mỗi khi đăng nhập bằng cách tạo một instance mới của chính nó.
Cơ sở hạ tầng C2 dựa trên Ethereum Blockchain
Botnet Tsundere sử dụng Ethereum blockchain để lấy chi tiết máy chủ WebSocket C2 (ví dụ: ws://193.24.123[.]68:3011 hoặc ws://185.28.119[.]179:1234), tạo ra một cơ chế linh hoạt cho phép những kẻ tấn công xoay vòng cơ sở hạ tầng chỉ bằng cách sử dụng một smart contract. Hợp đồng này được tạo vào ngày 23 tháng 9 năm 2024 và cho đến nay đã có 26 giao dịch.
Khi địa chỉ C2 được truy xuất, nó sẽ kiểm tra để đảm bảo đó là một WebSocket URL hợp lệ, sau đó tiến hành thiết lập kết nối WebSocket với địa chỉ cụ thể và nhận mã JavaScript được gửi bởi server. Kaspersky cho biết họ không quan sát thấy bất kỳ lệnh follow-up nào từ server trong suốt thời gian quan sát.
"Khả năng đánh giá mã làm cho bot Tsundere tương đối đơn giản, nhưng nó cũng cung cấp sự linh hoạt và năng động, cho phép các quản trị viên botnet điều chỉnh nó để thực hiện nhiều hành động khác nhau," Kaspersky cho biết.
Bảng điều khiển và tính năng quản lý
Hoạt động của botnet được hỗ trợ bởi một control panel cho phép người dùng đã đăng nhập tạo các artifact mới bằng MSI hoặc PowerShell, quản lý các chức năng hành chính, xem số lượng bot tại bất kỳ thời điểm nào, biến bot của họ thành một proxy để định tuyến traffic độc hại, và thậm chí duyệt và mua botnet thông qua một marketplace chuyên dụng.
Nguồn gốc và mối liên hệ
Hiện chưa rõ ai đứng đằng sau Tsundere, nhưng sự hiện diện của ngôn ngữ Nga trong source code cho mục đích logging cho thấy một threat actor nói tiếng Nga. Hoạt động này được đánh giá có sự trùng lặp về chức năng với một chiến dịch npm độc hại được ghi nhận bởi Checkmarx, Phylum và Socket vào tháng 11 năm 2024.
Hơn nữa, cùng một server đã được xác định là nơi lưu trữ control panel liên quan đến một information stealer có tên 123 Stealer, có sẵn theo hình thức đăng ký với giá 120 USD mỗi tháng. Nó lần đầu tiên được quảng cáo bởi một threat actor tên "koneko" trên một diễn đàn dark web vào ngày 17 tháng 6 năm 2025, theo KrakenLabs Team của Outpost24.
Một manh mối khác chỉ ra nguồn gốc từ Nga là khách hàng bị cấm sử dụng stealer này để nhắm mục tiêu vào Nga và các quốc gia Cộng đồng các Quốc gia Độc lập (CIS).
"Vi phạm quy tắc này sẽ dẫn đến việc tài khoản của bạn bị chặn ngay lập tức mà không cần giải thích," Koneko cho biết trong bài đăng vào thời điểm đó.
"Các lây nhiễm có thể xảy ra thông qua các tệp MSI và PowerShell, cung cấp sự linh hoạt trong việc ngụy trang installer, sử dụng phishing làm điểm xâm nhập, hoặc tích hợp với các cơ chế tấn công khác, khiến nó trở thành một mối đe dọa đáng gờm hơn," Kaspersky cho biết.
