$42 миллиона за софт с GitHub: «инструмент для пентеста» от русского разработчика стал мировым инструментом вымогателей

Специалисты Silent Push сообщили о росте кибератак, в которых злоумышленники используют инструмент AdaptixC2 — открытую платформу управления заражёнными системами, изначально предназначенную для тестирования на проникновение. Аналитики установили, что этот фреймворк активно применяют специалисты, связанные с Россией, включая разработчика под ником RalfHacker, который управляет русскоязычными Telegram-каналами, продвигающими AdaptixC2 и его обновления.

Специалисты Silent Push впервые обнаружили злоупотребление инструментом, когда изучали новый загрузчик CountLoader. Тогда они выявили, что на инфраструктуре, связанной с этим вредоносным компонентом, распространяются модифицированные версии AdaptixC2. После внедрения сигнатур для выявления CountLoader и AdaptixC2 специалисты зафиксировали всплеск активности злоумышленников, использующих этот фреймворк в глобальных кампаниях по доставке программ-вымогателей. В частности, исследователи отметили его применение операторами Akira — одной из наиболее известных группировок, действующих с 2023 года и атаковавших более 250 организаций в Северной Америке, Европе и Австралии с общим ущербом около 42 миллионов долларов.

AdaptixC2 позиционируется как расширяемая платформа для послепроникновенного доступа и эмуляции действий противника, применяемая специалистами по защите инфраструктуры. Серверная часть написана на Go, клиент — на C++ с использованием QT, что обеспечивает кроссплатформенность между Windows, Linux и macOS. Исходный код открыт и размещён в репозитории GitHub, где активнее всего работает пользователь под именем RalfHacker.

По данным Silent Push, RalfHacker описывает себя как специалиста по тестированию и разработчика вредоносного ПО. Через открытые источники аналитики установили, что с его учётными записями связаны почтовые адреса cybersecurityaaron@protonmail[.]com и hackerralf8@gmail[.]com, упоминавшиеся в утечках данных с хакерских форумов. Из Telegram-каналов, которыми он управляет, один полностью посвящён фреймворку AdaptixC2 и публикует обновления с комментариями на русском языке, что, по мнению аналитиков, подтверждает географическую связь автора с Россией.

Silent Push подчёркивает, что пока не располагает достаточными доказательствами прямого участия RalfHacker в атаках, однако совокупность признаков — русскоязычные ресурсы, продвижение инструмента в теневых каналах и растущее использование AdaptixC2 киберпреступниками — указывает на тесную связь разработчика с криминальной средой.

Аналитики отмечают, что AdaptixC2 стал ещё одним примером злоупотребления легальными средствами тестирования безопасности, которые используются злоумышленниками. Подобным образом применяются и другие инструменты, например evilginx2. Из-за этого разграничить этичное использование таких средств от криминального зачастую крайне сложно, что создаёт дополнительные трудности для специалистов по защите.

Команда Silent Push продолжает отслеживать инфраструктуру AdaptixC2, фиксируя новые серверы и методы взаимодействия. Для корпоративных клиентов компания подготовила специализированные сигнатуры и аналитические отчёты, которые помогут вовремя выявлять угрозы, связанные с этим инструментом.