Специалисты компании F6 вскрыли сеть доменов группировки NyashTeam, которая распространяет вредоносное ПО и предоставляет злоумышленникам хостинг-услуги. Клиенты группировки атаковали пользователей как минимум в 50 странах мира, в том числе в России. Сейчас более 110 доменов в зоне .ru, которые использовала группировка, уже заблокированы.
Аналитики департамента киберразведки (Threat Intelligence) и департамента защиты от цифровых рисков (Digital Risk Protection) компании F6 представили отчет о блокировке инфраструктуры киберпреступной группировки NyashTeam.
Эта группировка активна как минимум с 2022 года. Она распространяет по подписке через Telegram-боты и веб-сайты вредоносное программное обеспечение (ВПО), а также предоставляет хостинг-услуги для киберпреступной инфраструктуры. Большинство целей, которые злоумышленники атаковали с помощью инструментов NyashTeam, находятся в России.
Группировка использовала модель MaaS (Malware-as-a-Service) для распространения вредоносного ПО, что позволяет даже неопытным злоумышленникам выполнять сложные атаки. Такие платформы предоставляют готовые вредоносные программы с настроенной инфраструктурой и интуитивно понятной панелью управления. Клиентам нужно лишь заплатить за использование.
Группировка NyashTeam ориентируется прежде всего на русскоязычную аудиторию, но ее инструментами пользуются и другие злоумышленники из разных стран мира.
Причина такой «популярности» — относительно низкая стоимость ВПО. Стоимость подписки на бэкдор DCRat (предназначен для удаленного управления зараженными устройствами) — 349 рублей в месяц. Стоимость месячной подписки на ВПО WebRat (специализируется на краже учетных данных браузеров, включая пароли, cookies и данные автозаполнения) — 1199 рублей, а веб-хостинга — 999 рублей на 2 месяца.
В большинстве случаев клиенты группировки распространяют ВПО через платформы YouTube и GitHub. На YouTube они используют взломанные аккаунты, чтобы рекламировать читы, кряки и боты, а в описании оставляют ссылки на вредоносные файлы. На GitHub зловреды маскируются под взломанные программы, утилиты или читы в публичных репозиториях. Жертвами часто становятся геймеры и пользователи, ищущие бесплатный софт.
Специалисты F6 выявили, что с 2022 года группировка NyashTeam использовала более 350 доменов второго уровня. Пик активности по регистрации вредоносных доменов пришелся на декабрь 2024 и январь-февраль 2025 годов. В 2024 году NyashTeam рассылала фишинговые письма с трояном DCRat российским компаниям из логистики, нефтегазовой отрасли, геологии и ИТ.
«Кейс NyashTeam наглядно доказывает: инфраструктуру MaaS-операторов, распространяющих вредоносное ПО, можно обнаружить и эффективно заблокировать. Анализ и последующая блокировка доменов, используемых группировкой NyashTeam, позволили как минимум на время существенно ограничить возможности распространения угроз и затруднить работу злоумышленников».
Владислав Куган, аналитик отдела исследования кибератак Threat Intelligence компании F6
CERT-F6 направил на блокировку вредоносные домены, связанные с группировкой NyashTeam, в Координационный центр доменов .RU/.РФ. По данным на 21 июля 2025 года уже заблокированы более 110 доменов в зоне .ru. Также заблокирован Telegram-канал с исходным кодом WebRat и 4 обучающих видео на популярном видеохостинге.