卡巴斯基揭露针对Windows用户的“Tsundere”僵尸网络

雅加达 - 卡巴斯基全球研究和分析团队（GReAT）已经发现了一个新的僵尸网络，该僵尸网络由一个威胁行为者于 2025 年 7 月重新创建。

被称为Tsundere bitnet的攻击者通常使用伪装成流行游戏（如Valorant，CS2或R6x）以及其他软件的虚假设置的Microsoft Windows Installer（MSI）安装程序。

这种僵尸网络正在发展，对Windows用户构成了积极的威胁。卡巴斯基在墨西哥，智利，俄罗斯和哈萨克斯坦检测到了这种僵尸网络。

Tsundere僵尸网络使用Web3智能合约来存储命令和控制（C2）地址，这使得僵尸网络基础设施更具抗干扰性。其C2面板支持两种部署方式，即MSI安装程序和带有自动植入的PowerShell脚本。

该植入物安装了一个机器人，该机器人可以运行通过加密的 WebSocket 动态发送的恶意 JavaScript 代码。为了管理感染，Tsundere 使用预定义的以太坊钱包和合约。

“Tsundere展示了网络罪犯适应的速度有多快：这是据称已识别的威胁行为者的一项新举措，旨在改造他们的设备，”卡巴斯基全球研究和分析团队的高级安全专家Lisandro Ubiedo说。

此分析表明，Tsundere僵尸网络背后的威胁行为者很可能讲俄语，正如代码中使用俄语所表明的那样，与以前与同一攻击者相关的攻击一致。

该研究还显示，Tsundere僵尸网络与“koneko”创建的123窃贼之间存在联系，该窃贼在地下论坛上以120美元的价格出售，约合200万印尼盾。

“我们已经看到通过假游戏安装程序和以前观察到的恶意活动的链接进行主动分发，因此这种僵尸网络的进一步发展非常可能发生，”Lisandro Ubiedo说。