Tsundere representa uma mudança significativa nas táticas de botnet, aproveitando o poder dos pacotes Node.js legítimos e da tecnologia blockchain para distribuir malware em vários sistemas operacionais.
Identificado pela primeira vez em meados de 2025 pelos pesquisadores do Kaspersky GReAT, este botnet demonstra a crescente sofisticação dos ataques à cadeia de suprimentos.
A ameaça se origina de atividades observadas pela primeira vez em outubro de 2024, onde os invasores criaram 287 pacotes npm maliciosos usando typosquatting – imitando os nomes de bibliotecas populares como Puppeteer e Bignum.js para enganar os desenvolvedores na instalação.
O vetor de infecção evoluiu consideravelmente desde então. O Tsundere se espalha por vários caminhos, incluindo ferramentas de monitoramento e gerenciamento remoto e instaladores de jogos disfarçados que capitalizam comunidades de pirataria.
Amostras descobertas na natureza trazem nomes como “valorant”, “cs2” e “r6x”, visando especificamente os entusiastas de jogos de tiro em primeira pessoa.
Contrato inteligente contendo o botnet Tsundere WebSocket C2 (Fonte – Securelist)
Essa abordagem se mostra altamente eficaz para evitar a conscientização tradicional sobre segurança, já que os usuários esperam esses aplicativos de qualquer maneira.
A botnet ameaça particularmente os usuários do Windows, embora a campanha inicial expusesse sistemas nas plataformas Windows, Linux e macOS quando operava por meio da implantação de pacotes npm.
A infraestrutura por trás do Tsundere revela uma compreensão sofisticada dos métodos de ataque modernos. Em vez de depender da infraestrutura tradicional de comando e controle centralizada, a botnet utiliza contratos inteligentes de blockchain Ethereum para armazenar e recuperar endereços C2.
Processo de comunicação Tsundere com o C2 via WebSockets (Fonte – Securelist)
Essa abordagem adiciona resiliência ao dificultar a desativação dos servidores por meios convencionais. O ator da ameaça, identificado como koneko – um agente que fala russo – opera um mercado profissional onde outros cibercriminosos podem adquirir serviços de botnet ou implantar suas próprias funcionalidades.
Os analistas de segurança da Securelist identificaram o malware após descobrirem conexões entre a campanha atual e ataques anteriores à cadeia de suprimentos.
A investigação revelou que o agente da ameaça ressurgiu com capacidades aprimoradas, lançando o Tsundere como uma evolução dos esforços anteriores de malware.
Login do painel do botnet Tsundere (fonte – Securelist)
O painel oferece suporte ao instalador MSI e aos mecanismos de entrega de scripts do PowerShell, proporcionando aos invasores flexibilidade nas estratégias de implantação em diferentes ambientes de rede e defesas.
Como Tsundere mantém a persistência por meio do abuso do Node.js
O mecanismo de infecção começa quando um instalador MSI ou script do PowerShell é executado no sistema da vítima, colocando arquivos de tempo de execução Node.js legítimos em AppData junto com JavaScript malicioso.
A configuração usa um comando oculto do PowerShell que gera um processo Node.js executando código do carregador ofuscado.
Este script do carregador descriptografa o bot principal usando criptografia AES-256-CBC antes de estabelecer o ambiente do botnet. O bot instala automaticamente três pacotes npm críticos: ws para comunicação WebSocket, ethers para interação blockchain Ethereum e pm2 para persistência de processo.
O pacote pm2 desempenha um papel crucial na manutenção da presença em máquinas comprometidas. Ele cria entradas de registro que garantem que o bot seja reiniciado automaticamente sempre que um usuário fizer login, alcançando persistência efetiva.
O bot então consulta os nós do blockchain Ethereum por meio de provedores públicos de RPC, recuperando o endereço atual do servidor C2 de uma variável de contrato inteligente.
Essa abordagem inteligente significa que os defensores não podem simplesmente bloquear um endereço IP conhecido – os invasores alternam a infraestrutura C2 à vontade por meio de transações blockchain, tornando ineficaz o bloqueio tradicional baseado em IP.
Uma vez conectado, o bot estabelece comunicação criptografada e aguarda comandos dos operadores, que chegam como código JavaScript dinâmico para execução.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas. Defina CSN como fonte preferencial no Google.
