Hack Alerta

Kaspersky descreve Tsundere: botnet Node.js que usa contratos Ethereum para C2

Por Redação Hack Alerta Publicado em 20/11/2025 08:02 Cyber ataques Tempo de leitura: 3 min

Kaspersky GReAT descreve o Tsundere, botnet Node.js distribuído via MSI e PowerShell que usa um smart contract Ethereum para publicar endereços WebSocket de C2; o ecossistema inclui painel com marketplace e builds, e IoCs (IPs, hashes) estão listados no relatório.

Pesquisadores do Kaspersky GReAT detalharam uma nova botnet denominada Tsundere que utiliza implantes em Node.js, distribuídos via MSI e scripts PowerShell, e que recupera endereços de C2 a partir de um smart contract na blockchain Ethereum.

Descoberta e panorama

O Kaspersky identificou o Tsundere em meados de 2025 e correlacionou o código com campanhas anteriores (oct/2024) baseadas em typosquatting no npm. A botnet foca atualmente em Windows e, no painel observado, havia entre 90 e 115 bots conectados ao C2 durante o monitoramento.

Vetores de infecção e implantadores

Foram documentados dois vetores principais:

  • Instalador MSI: frequentemente disfarçado como instalador de jogos (nomes como "valorant", "cs2"). O MSI instala binários Node.js e scripts ofuscados em %LOCALAPPDATA%\nodejs e executa um loader que decripta e instala a payload.
  • PowerShell: baixa e extrai node‑v18.17.0 e escreve scripts decodificados por AES‑256‑CBC, depois monta package.json e inicia o bot.

Arquitetura do bot e funcionalidades

O implant carrega um runtime Node.js local e instala dependências (ws, ethers, pm2). O pm2 é usado para persistência (registro no HKCU Run e configuração de reinício). A comunicação com o C2 é feita via WebSocket; a botnet envia informações do host (MAC, memória, GPU) e usa um esquema de troca de chave AES seguido por mensagens encriptadas para as sessões subsequentes.

Uso da blockchain para resiliência

Um aspecto notável é a recuperação dinâmica do endereço do C2 a partir de um contrato inteligente Ethereum. O atacante atualiza uma variável no contrato (via transação de 0 ETH) que contém o endereço ws:// codificado; o bot consulta provedores RPC públicos para obter essa variável. Kaspersky lista wallet e contract IDs usados por Tsundere, bem como transações que mudaram o C2.

Infraestrutura e IoCs

O relatório inclui vários IPs e portas de WebSocket observadas (por exemplo, ws://185.28.119[.]179:1234, ws://196.251.72[.]192:1234, ws://103.246.145[.]201:1234) e uma longa lista de hashes de arquivos e paths (%APPDATA%\Local\NodeJS). O painel de controle, "Tsundere Netto" (v2.4.4), permite registro aberto, construção de builds e um marketplace que facilita a comercialização de bots entre atores.

Impacto e riscos

Tsundere combina técnicas de entrega (MSI/PowerShell), persistência via pm2 e um mecanismo resiliente de C2 baseado em blockchain, o que o torna flexível e difícil de derrubar por bloqueios simples. A existência de um marketplace e de builds licenciados indica modelo comercial que pode ampliar escopo de uso.

Recomendações de defesa

  • Bloquear execução de MSI não assinados e restringir uso de PowerShell com políticas de ConstrainedLanguage e AppLocker/WDAC onde aplicável.
  • Monitorar criação de estruturas Node.js em diretórios de usuário e execução de binários node.exe em %LOCALAPPDATA%.
  • Detectar uso indevido de pm2 e entradas de persistência no HKCU Run associadas a nodejs.
  • Correlacionar conexões WebSocket com IoCs conhecidos e inspecionar chamadas a RPCs Ethereum incomuns em hosts de interesse.

Fonte: Kaspersky

Baseado em publicação original de Kaspersky
Tags: #botnet #nodejs #websocket #ethereum #msi #powershell #pm2 #malware #blockchain
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar