
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Nowa kampania malware przypisywana grupie UAT-11795 pokazuje, że trojanizowane instalatory popularnych aplikacji nadal pozostają bardzo skutecznym sposobem uzyskania dostępu do systemów ofiar. Atakujący podszywają się pod legalne pakiety instalacyjne narzędzi wykorzystywanych w pracy zdalnej, komunikacji i administracji, takich jak Zoom, Webex czy MobaXterm.
Celem operacji jest dostarczenie Starland RAT, czyli trojana zdalnego dostępu opartego na Pythonie. W dalszych etapach kampanii wykorzystywane są także dodatkowe komponenty, w tym pamięciowy implant PowerShell WLDR, a w części przypadków również CastleStealer i Remcos RAT.
W skrócie
- Kampania została opisana w lipcu 2026 roku, ale trwa co najmniej od czerwca 2025 roku.
- Ataki są wymierzone w użytkowników w Stanach Zjednoczonych i Europie.
- Głównym ładunkiem jest Starland RAT, wspierany przez implant WLDR działający w pamięci.
- Napastnicy wykorzystują fałszywe instalatory legalnych aplikacji oraz technikę ClickFix.
- Malware stosuje mechanizmy antyanalityczne, kradnie dane i korzysta z zapasowego kanału C2 opartego na blockchainie.
Kontekst / historia
UAT-11795 jest opisywany jako rosyjskojęzyczny, finansowo motywowany podmiot zagrożenia. Grupa nie ogranicza się do jednego sektora ani jednego typu ofiary. Zamiast tego wybiera oprogramowanie rozpoznawalne i szeroko używane zarówno przez użytkowników biznesowych, jak i specjalistów technicznych.
To ważny sygnał dla organizacji, ponieważ atak nie bazuje wyłącznie na masowej dystrybucji malware, lecz na świadomym wykorzystaniu zaufania do znanych marek. Oprócz aplikacji komunikacyjnych operatorzy kampanii wykorzystywali także instalatory narzędzi administracyjnych, bazodanowych i deweloperskich, co sugeruje szeroką strategię infekcji i próbę dotarcia do osób posiadających podwyższone uprawnienia lub dostęp do wrażliwych zasobów.
Analiza techniczna
Początkowy etap infekcji opiera się na socjotechnice typu ClickFix. Ofiara jest nakłaniana do uruchomienia polecenia, które pobiera i wykonuje złośliwy plik HTA. Następnie uruchamiany jest plik wsadowy, dostarczany trojanizowany instalator, a w systemie tworzony jest mechanizm trwałości oparty o klucz Run w rejestrze.
Fałszywe instalatory zostały przygotowane z użyciem NSIS. Podczas gdy użytkownik widzi pozornie prawidłowy proces instalacji legalnej aplikacji, w tle działa ukryty loader Pythona. Komponent ten odszyfrowuje Starland RAT z użyciem prostego mechanizmu XOR i uruchamia go równolegle do właściwego instalatora, dzięki czemu infekcja może pozostać niezauważona.
Starland RAT stosuje szereg kontroli antyanalitycznych jeszcze przed rozpoczęciem aktywnej komunikacji z serwerem sterującym. Sprawdza nazwę użytkownika, nazwę hosta, artefakty sandboxów oraz innych środowisk analitycznych. Weryfikuje również obecność znacznika pobrania z Internetu w postaci Zone.Identifier. Jeżeli środowisko nie spełnia założeń operatora, malware może przerwać swoje działanie.
Po pomyślnym uruchomieniu złośliwe oprogramowanie ustanawia trwałość między innymi przez zadanie harmonogramu o losowej nazwie i dodatkowy skrót w folderze autostartu. Następnie rozpoczyna rekonesans hosta, zbierając informacje o identyfikatorze sprzętowym, pamięci RAM, rozwiązaniach ochronnych oraz członkostwie w domenie Active Directory. W środowiskach domenowych wykonywane są także polecenia służące do mapowania infrastruktury.
Starland RAT został wyposażony również w funkcje kradzieży danych. Malware przeszukuje przeglądarki i aplikacje desktopowe pod kątem portfeli kryptowalutowych, wykonuje zrzuty ekranu i pakuje zebrane informacje do zaszyfrowanego ładunku JSON. Oznacza to, że kampania jest nastawiona nie tylko na uzyskanie dostępu, ale także na szybkie monetyzowanie przejętych danych i aktywów cyfrowych.
Na szczególną uwagę zasługuje architektura komunikacji C2. Jeżeli podstawowa domena nie odpowiada, malware może skorzystać z mechanizmu zapasowego opartego na smart kontrakcie w sieci Polygon. Zaszyfrowana wartość odczytana z kontraktu jest lokalnie odszyfrowywana i wykorzystywana jako alternatywny adres komunikacji, co zwiększa odporność infrastruktury napastników na blokowanie i utrudnia szybkie wygaszenie operacji.
Po rejestracji ofiary operator może wdrożyć WLDR, czyli wieloetapowy implant PowerShell działający całkowicie w pamięci. Obsługuje on szyfrowaną komunikację, kolejkowanie zadań i współbieżne wykonywanie poleceń. Daje to atakującemu elastyczny kanał administracyjny do uruchamiania kolejnych skryptów i modułów bez pozostawiania klasycznych artefaktów na dysku.
W części incydentów Starland pełni także funkcję droppera dla dodatkowych rodzin malware. CastleStealer odpowiada za kradzież poświadczeń z przeglądarek, rozszerzeń portfeli kryptowalutowych, sesji komunikatorów i danych Steam. Alternatywnie pojawia się również Remcos RAT. Badacze odnotowali ponadto techniki obchodzenia zabezpieczeń, takie jak modyfikacja AMSI i ETW w pamięci procesu, co utrudnia wykrywanie przez rozwiązania EDR.
Konsekwencje / ryzyko
Ryzyko związane z tą kampanią jest wysokie, ponieważ łączy skuteczny wektor socjotechniczny z modularnym zestawem narzędzi do przejęcia hosta, rozpoznania środowiska i kradzieży danych. Dla organizacji może to oznaczać utratę poświadczeń, wyciek informacji biznesowych, przejęcie kont użytkowników oraz przygotowanie gruntu pod kolejne etapy ataku.
Szczególnie niebezpieczne jest to, że infekcja przebiega równolegle do pozornie legalnej instalacji oprogramowania. Użytkownik może nie zauważyć niczego podejrzanego, a zespół bezpieczeństwa może początkowo obserwować jedynie uruchomienie znanej aplikacji. Dodatkowe mechanizmy antysandbox, implant działający wyłącznie w pamięci i zapasowy kanał C2 przez blockchain zwiększają trudność analizy incydentu.
Najbardziej narażone są środowiska, w których pracownicy mogą samodzielnie pobierać oprogramowanie z Internetu, nie stosuje się skutecznego whitelisting’u aplikacji lub nie monitoruje się PowerShell, zadań harmonogramu i zmian w autostarcie. Obecność funkcji ukierunkowanych na portfele kryptowalutowe zwiększa także ryzyko bezpośrednich strat finansowych.
Rekomendacje
Podstawowym krokiem obronnym powinno być ograniczenie możliwości instalowania oprogramowania wyłącznie do zatwierdzonych repozytoriów, firmowych katalogów oraz oficjalnych kanałów dystrybucji. Organizacje powinny wdrożyć kontrolę aplikacji i polityki pozwalające uruchamiać wyłącznie podpisane oraz autoryzowane instalatory.
Z perspektywy detekcji warto monitorować następujące zdarzenia i wzorce aktywności:
- uruchamianie plików HTA i nietypowych skryptów wsadowych,
- podejrzane użycie NSIS i osadzonych runtime’ów Pythona,
- tworzenie kluczy Run oraz skrótów autostartu,
- nowe zadania harmonogramu o losowych nazwach,
- anomalie w użyciu PowerShell, szczególnie aktywność wyłącznie w pamięci,
- próby modyfikacji AMSI i ETW,
- połączenia do nietypowych domen C2 oraz ruch przypominający maskowaną komunikację przeglądarkową.
W ochronie endpointów istotne będzie zwiększenie widoczności skryptów i pamięci procesów, włączenie rejestrowania poleceń PowerShell oraz stosowanie reguł behawioralnych wykrywających zrzuty ekranu, enumerację portfeli kryptowalutowych i nietypowe odczyty danych z przeglądarek. Warto również egzekwować MFA, segmentację sieci i ograniczenie lokalnych uprawnień administracyjnych.
Dla zespołów SOC szczególnie skuteczna może być korelacja zdarzeń obejmujących pobranie instalatora, uruchomienie procesu instalacyjnego, utworzenie artefaktów trwałości oraz następczą aktywność PowerShell. Taki sekwencyjny wzorzec często pozwala szybciej wykryć kompromitację niż pojedynczy wskaźnik IOC.
Podsumowanie
Kampania UAT-11795 pokazuje, jak dojrzałe stały się operacje oparte na trojanizowanych instalatorach i wieloetapowych łańcuchach infekcji. Starland RAT pełni rolę elastycznego narzędzia pierwszego dostępu, a WLDR zapewnia napastnikom trwały, pamięciowy kanał kontroli nad systemem. Dodatkowe moduły kradzieży danych i poświadczeń zwiększają wartość operacyjną całej kampanii.
Najważniejszy wniosek dla organizacji jest jednoznaczny: sama nazwa aplikacji lub poprawnie wyglądający instalator nie mogą być traktowane jako dowód bezpieczeństwa. W 2026 roku kluczowe pozostają kontrola źródła oprogramowania, telemetryka endpointów oraz wykrywanie zachowań po infekcji.
Źródła
- https://securityaffairs.com/195532/malware/new-russian-campaign-uses-fake-webex-and-zoom-installers-to-deploy-starland-rat.html
- https://blog.talosintelligence.com/uat-11795-deploys-novel-starland-rat-and-bespoke-wldr-c2-implant-in-financially-motivated-campaign/
- https://blog.talosintelligence.com/