Pesquisadores em cibersegurança alertam para o crescimento ativo de uma botnet chamada Tsundere, que tem como alvo usuários do Windows.
Em operação desde meados de 2025, essa ameaça foi projetada para executar códigos JavaScript arbitrários obtidos a partir de um servidor de comando e controle (C2), conforme análise divulgada hoje pelo pesquisador da Kaspersky Lisandro Ubiedo.
Ainda não há informações claras sobre como o malware da botnet se propaga, mas, em pelo menos um caso, foi identificado o uso de uma ferramenta legítima de Remote Monitoring and Management (RMM) para baixar um arquivo instalador MSI de um site comprometido.
Os nomes atribuídos aos artefatos maliciosos — Valorant, r6x (Rainbow Six Siege X) e cs2 (Counter-Strike 2) — indicam que o malware provavelmente é distribuído por meio de iscas relacionadas a jogos.
Há indícios de que usuários em busca de versões piratas desses jogos estejam entre os principais alvos.
Independentemente do método de propagação, o instalador MSI falso tem como objetivo instalar o Node.js no sistema e iniciar um script carregador responsável por descriptografar e executar a payload principal da botnet.
Além disso, ele prepara o ambiente ao baixar três bibliotecas legítimas — ws, ethers e pm2 — via comando “npm install”.
“O pacote pm2 é instalado para garantir que o bot Tsundere permaneça ativo e seja reiniciado automaticamente”, explicou Ubiedo.
“Além disso, o pm2 contribui para a persistência no sistema ao modificar o registro do Windows e configurar o reinício do processo a cada login.”
A análise do painel de controle do C2 realizada pela Kaspersky também revelou que o malware pode ser distribuído em scripts PowerShell.
Esses scripts executam uma sequência similar de ações, implantando o Node.js no host infectado e baixando as dependências ws e ethers.
Embora o infector via PowerShell não utilize o pm2, ele cria uma chave no registro para garantir a execução automática do bot a cada login, gerando uma nova instância de si mesmo.
Outro aspecto sofisticado da botnet Tsundere é a utilização da blockchain Ethereum para obter informações sobre os servidores WebSocket do C2, incluindo endereços como ws://193.24.123[.]68:3011 e ws://185.28.119[.]179:1234.
Essa estratégia cria um mecanismo resiliente que permite aos atacantes alternar a infraestrutura facilmente por meio de um smart contract.
O contrato foi criado em 23 de setembro de 2024 e já contabiliza 26 transações até o momento.
Após recuperar o endereço do C2, o bot valida se a URL é um WebSocket válido e estabelece conexão para receber os comandos JavaScript enviados pelo servidor.
Durante o período de observação, a Kaspersky não identificou comandos subsequentes.
Segundo a empresa, “a capacidade de executar códigos torna o bot Tsundere relativamente simples, mas também proporciona flexibilidade e dinamismo, permitindo que seus administradores adaptem a botnet para diversas finalidades.”
A botnet é controlada por um painel administrativo que permite a usuários autenticados gerar novos artefatos em MSI ou PowerShell, gerenciar funções administrativas, monitorar o número de bots ativos, transformar os bots em proxies para redirecionar tráfego malicioso e até navegar e adquirir bots por meio de um marketplace dedicado.
A identidade dos responsáveis pelo Tsundere permanece desconhecida, mas a presença do idioma russo no código-fonte de logs sugere que os atacantes falam russo.
A atividade tem semelhanças funcionais com uma campanha maliciosa via npm documentada em novembro de 2024 pelas empresas Checkmarx, Phylum e Socket.
Além disso, o mesmo servidor foi associado ao painel de C2 do “123 Stealer”, um roubador de informações disponível por assinatura a US$ 120 mensais.
Esse serviço foi inicialmente anunciado por um operador identificado como “koneko” em um fórum da dark web em 17 de junho de 2025, segundo a equipe KrakenLabs da Outpost24.
Outro indicativo da origem russa da operação é a restrição imposta aos clientes, que são proibidos de direcionar o stealer contra alvos na Rússia e nos países da Comunidade dos Estados Independentes (CEI).
A violação dessa regra implica o bloqueio imediato da conta, sem explicações, conforme indicado pela própria “koneko”.
Segundo a Kaspersky, “as infecções podem ocorrer por meio de arquivos MSI e scripts PowerShell, o que oferece flexibilidade para disfarçar instaladores, utilizar phishing como vetor de entrada ou integrar outros mecanismos de ataque, tornando essa ameaça ainda mais complexa e perigosa.”
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...