کمیته رکن چهارم– پژوهشگران امنیتی از گسترش فعال باتنت Tsundere در سیستمهای ویندوز خبر دادهاند. این باتنت که نخستین بار در سال ۲۰۲۵ شناسایی شده، با استفاده از طعمههایی با مضمون بازیهای رایانهای، اقدام به آلودهسازی دستگاهها و اجرای کدهای مخرب از راه دور میکند.
به گزارش کمیته رکن چهارم، Tsundere از فایلهای MSI و اسکریپتهای PowerShell برای نصب Node.js و بارگیری کتابخانههای npm شامل ws، ethers و pm2 استفاده میکند. این کتابخانهها امکان ارتباط با سرور فرمان و کنترل (C2)، دریافت کد جاوااسکریپت و پایداری باتنت در سیستم را فراهم میکنند. در برخی موارد، از ابزارهای قانونی مدیریت از راه دور برای توزیع این بدافزار استفاده شده است.
یکی از ویژگیهای متمایز Tsundere، استفاده از بلاکچین اتریوم برای دریافت آدرس سرور C2 از طریق اسمارت کانترکت است. این رویکرد به مهاجمان امکان میدهد زیرساخت فرماندهی خود را با انعطاف بالا تغییر دهند و از شناسایی جلوگیری کنند.
باتنت از طریق یک پنل تحت وب مدیریت میشود و قابلیتهایی مانند تولید نمونههای جدید، تبدیل دستگاه آلوده به پراکسی و فروش باتنتها در بازار اختصاصی را در اختیار گردانندگان قرار میدهد. زبان روسی استفادهشده در کد منبع ثبت لاگها و محدودیت در هدفگیری کاربران روسیه و کشورهای مستقل مشترکالمنافع، احتمال ارتباط این تهدید با مهاجمان روسزبان را تقویت میکند.
گزارشها نشان میدهد که سرور میزبان پنل Tsundere همچنین میزبان بدافزار اطلاعاتی ۱۲۳ Stealer نیز بوده که بهصورت اشتراکی در دارکوب تبلیغ شده است. پژوهشگران هشدار دادهاند که با توجه به روشهای توزیع منعطف این باتنت، از جمله فیشینگ و نصبکنندههای جعلی، خطر آلودگی برای کاربران و سازمانها بسیار بالاست و نیاز به بررسی دقیق امنیت سیستمها وجود دارد.
