卡巴斯基全球研究与分析团队（GReAT）发现，2025年7月，一个重新活跃的威胁行为者创建了一种新型僵尸网络。为诱骗受害者，攻击者使用伪装成热门游戏（特别是《无畏契约》《CS2》《R6x》等射击类游戏）以及其他软件安装程序的MSI安装包。该僵尸网络正持续扩张，对Windows用户构成活跃威胁。卡巴斯基已在墨西哥、智利、俄罗斯和哈萨克斯坦检测到其踪迹。

Tsundere僵尸网络采用了一种日益流行的策略，利用Web3智能合约存储其命令与控制（C2）地址，显著增强了基础设施的稳健性。其C2控制面板支持两种分发格式：MSI安装包和带有自动生成植入程序的PowerShell脚本。这些植入程序将安装一个僵尸程序，该程序能够持久执行通过加密 WebSocket 通道从 C2 动态接收的 JavaScript 代码，这可能导致恶意执行威胁行为者发送的代码。

为管理受感染设备及更新C2服务器地址，Tsundere僵尸网络使用了以太坊区块链上的固定参照点，例如指定的钱包与合约地址。只需通过单次交易更新合约状态变量中的地址字段，即可完成C2服务器的切换。该僵尸网络生态系统还包含集成式交易市场和控制面板，均可通过同一界面访问。

分析显示，Tsundere僵尸网络背后的威胁行为者很可能是俄语使用者，对此我们比较有把握，代码中出现的俄语使用便是明证，这与该行为者过去发动的攻击中观察到的语言特征相吻合。研究还指出Tsundere僵尸网络与“koneko”开发的123窃密程序存在关联，后者曾在黑产论坛以每月120美元的价格兜售。

“Tsundere展示了网络犯罪分子的快速适应能力。这表明一个之前已被发现的威胁行为者正在通过全面升级攻击工具实现卷土重来。通过转向Web3机制，其基础设施变得更加灵活且具有韧性。我们已监测到该僵尸网络正通过伪装成游戏安装程序的恶意程序及此前已知恶意活动的链接进行积极传播，因此该僵尸网络极有可能进一步发展，”卡巴斯基全球研究与分析团队高级安全专家Lisandro Ubiedo表示。更多有关该威胁的详情以及感染迹象，请查看Securelist.com上的相关文章。为了确保安全，卡巴斯基建议：

· 仅使用来自经过验证的发行商的许可软件和官方游戏平台。这种做法对于保护您的设备免受恶意行为者的未经授权访问至关重要。

· 安装一款受信任的安全解决方案并遵循其建议。完善的安全解决方案将自动处理大部分问题并发送相关警告。

· 避免从未知来源或不受信任的来源下载可执行文件。

· 谨防诱导您从不明网站安装应用程序的网络钓鱼邮件。

· 遵循最佳安全实践，包括定期更新软件、强制使用高强度密码及双因素认证，并持续监测系统入侵迹象。

关于全球研究与分析团队

全球研究与分析团队（GReAT）成立于 2008 年，是卡巴斯基的核心部门，负责揭露 APT、网络间谍活动、重大恶意软件、勒索软件和全球地下网络犯罪趋势。目前，GReAT 由 40 多名专家组成，他们在欧洲、俄罗斯、美洲、亚洲和中东等全球范围内工作。这些才华横溢的安全专业人员为公司的反恶意软件研究和创新发挥着领导作用，他们以无与伦比的专业知识、热情和好奇心致力于发现和分析网络威胁。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止，卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务，为全球的个人用户、企业、关键基础设施和政府提供安全保护。该公司全面的安全产品组合包括领先的个人设备数字生活保护、面向企业的专业安全产品和服务，以及用于对抗复杂且不断演变的数字威胁的网络免疫解决方案。我们为数百万个人用户及近20万企业客户守护他们最珍视的数字资产。要了解更多详情，请访问www.kaspersky.com。