Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Millenium RAT to trojan zdalnego dostępu klasy RAT, zaprojektowany do przejmowania kontroli nad systemami Windows, kradzieży danych oraz uruchamiania dodatkowych komponentów malware. Najnowsze analizy wskazują, że zagrożenie działa w modelu malware-as-a-service, a do komunikacji z operatorami wykorzystuje Telegram Bot API, co ogranicza potrzebę utrzymywania własnej infrastruktury dowodzenia i utrudnia analizę ruchu sieciowego.
W skrócie
Kampania powiązana z Millenium RAT miała objąć 62 289 urządzeń w ponad 160 krajach, a 39 730 infekcji odnotowano już w pierwszym kwartale 2026 roku. Badacze łączą aktywność z klastrem określanym jako Y2K Operators. Aktualna wersja malware została przepisana z .NET do natywnego C++, a dystrybucja opiera się głównie na socjotechnice oraz plikach podszywających się pod cheaty do gier, pirackie oprogramowanie i narzędzia ofensywne.
Kontekst / historia
Millenium RAT pojawił się w 2023 roku jako zagrożenie stworzone w technologii .NET. Z czasem ewoluował z relatywnie prostego narzędzia do rozbudowanej platformy zdalnej kontroli nad hostem, oferowanej w niskim progu cenowym. Taki model znacząco obniża barierę wejścia, umożliwiając korzystanie z zaawansowanego malware także mniej doświadczonym operatorom.
Według ustaleń badaczy trojan był promowany przez osobę używającą aliasu ShinyEnigma, a sprzedaż obejmowała zarówno model subskrypcyjny, jak i dostęp dożywotni. To przykład postępującej komercjalizacji cyberprzestępczości, w której zestawy malware są rozwijane i oferowane podobnie jak legalne produkty programistyczne.
Analiza techniczna
Najważniejszą zmianą techniczną w Millenium RAT jest migracja z .NET do natywnego C++. W praktyce oznacza to mniejszą zależność od środowiska uruchomieniowego, niższy ślad artefaktów oraz większą odporność na część prostszych mechanizmów wykrywania opartych na sygnaturach i analizie binariów zarządzanych. Do komunikacji z Telegramem malware wykorzystuje bibliotekę libcurl oraz Telegram Bot API.
Model komunikacji oparty na legalnej usłudze przynosi operatorom kilka korzyści. Ruch może zlewać się z normalną aktywnością sieciową, atakujący nie muszą utrzymywać własnych serwerów C2, a blokowanie kampanii staje się trudniejsze bez wpływu na legalne wykorzystanie platformy komunikacyjnej.
Pod względem funkcjonalnym Millenium RAT oferuje zestaw możliwości typowych dla dojrzałych trojanów zdalnego dostępu. Obejmuje kradzież danych z przeglądarek, rejestrowanie naciśnięć klawiszy, wykonywanie zrzutów ekranu, nagrywanie dźwięku, pobieranie i uruchamianie dodatkowych plików oraz wykonywanie poleceń na stacji ofiary. Część komend może prowadzić również do działań destrukcyjnych, w tym szyfrowania plików lub celowego wywołania błędu systemowego.
Istotne jest to, że kampania nie opiera się na wykorzystaniu zaawansowanych luk typu zero-day. Zamiast tego bazuje na standardowych funkcjach Windows oraz skutecznej socjotechnice. Podniesienie uprawnień może następować przez standardowy monit UAC i skłonienie użytkownika do jego zaakceptowania. Po infekcji malware może dodatkowo podszywać się pod pliki systemowe Windows, co utrudnia jego ręczne wykrycie.
Konsekwencje / ryzyko
Skala kampanii pokazuje, że Millenium RAT nie jest niszowym narzędziem, lecz aktywnie rozwijanym zagrożeniem o globalnym zasięgu. Dla użytkowników indywidualnych najważniejsze ryzyka to utrata danych uwierzytelniających, przejęcie kont, wyciek informacji z przeglądarek, monitoring aktywności oraz instalacja kolejnych ładunków, w tym ransomware lub stealerów.
W środowiskach firmowych skutki mogą być znacznie poważniejsze. Zainfekowana stacja robocza może stać się punktem wejścia do dalszej penetracji sieci, kradzieży danych biznesowych, przejęcia sesji użytkowników uprzywilejowanych lub wdrożenia kolejnych etapów ataku. Niski próg wejścia dla operatorów korzystających z modelu MaaS zwiększa liczbę podmiotów zdolnych do prowadzenia skutecznych kampanii.
Na uwagę zasługuje także obserwowane zatruwanie narzędzi wykorzystywanych przez innych cyberprzestępców, takich jak AsyncRAT czy XWorm. Pokazuje to, że ekosystem zagrożenia może rozprzestrzeniać się również wewnątrz środowisk przestępczych.
Rekomendacje
Organizacje powinny ograniczyć uruchamianie niezweryfikowanego oprogramowania, szczególnie plików pochodzących z forów, komunikatorów, stron z crackami oraz repozytoriów o niepewnej reputacji. Kluczowe znaczenie ma wdrożenie polityk application control oraz blokowanie wykonywania nieautoryzowanych binariów w profilach użytkowników i katalogach tymczasowych.
Zespoły bezpieczeństwa powinny monitorować ruch wychodzący do usług komunikacyjnych wykorzystywanych nietypowo jako kanał C2. Sama obecność połączeń do Telegrama nie oznacza kompromitacji, jednak warto analizować wzorce komunikacji procesów, które nie powinny inicjować takich połączeń.
- Egzekwować zasadę najmniejszych uprawnień i ograniczać możliwość zatwierdzania monitów UAC przez zwykłych użytkowników.
- Wdrożyć ochronę EDR ukierunkowaną na wykrywanie stealerów i RAT-ów.
- Blokować pobieranie cheatów, cracków i nieautoryzowanych narzędzi.
- Monitorować dostęp do danych przeglądarek, schowka, mikrofonu i funkcji screen capture.
- Prowadzić kampanie uświadamiające dotyczące fałszywych instalatorów i nietypowych monitów administracyjnych.
- Segmentować sieć, aby ograniczyć skutki przejęcia pojedynczego hosta.
- Przygotować playbook reagowania na incydent związany z RAT-em wykorzystującym legalne usługi chmurowe jako kanał komunikacji.
W przypadku podejrzenia infekcji zalecane jest natychmiastowe odizolowanie hosta, zabezpieczenie artefaktów pamięci i dysku, analiza mechanizmów trwałości, reset poświadczeń zapisanych w przeglądarkach oraz sprawdzenie, czy na urządzeniu nie pojawiły się dodatkowe ładunki.
Podsumowanie
Millenium RAT pokazuje, jak skuteczne może być połączenie niskiej bariery wejścia, sprawnej dystrybucji, legalnej platformy komunikacyjnej i rozbudowanych funkcji zdalnej kontroli. Przepisanie malware do C++ oraz wykorzystanie Telegram Bot API zwiększają zdolność unikania detekcji i upraszczają działania operatorów. Dla obrońców oznacza to konieczność wzmacniania telemetrii endpointów, kontroli aplikacji oraz detekcji zachowań, zamiast polegania wyłącznie na klasycznych sygnaturach.