Хакеры так обиделись на разоблачение, что завалили антивирусы миллионами вьетнамских ругательств
NewsMakerОбнаружена новая волна атак на пользователей ИИ-сервисов.
Создатели вредоносной программы Noodlophile , похоже, болезненно отреагировали на публикации о своей деятельности. После того как исследователи подробно разобрали их инструмент, авторы решили ответить своеобразным способом и попытались одновременно отомстить и запутать системы автоматического анализа.
Впервые Noodlophile обнаружили в мае 2025 года. Тогда выяснилось, что программа скрывалась за поддельными сервисами для создания видео с помощью искусственного интеллекта, которые активно продвигали на Facebook*. Злоумышленники искусственно накручивали популярность страниц, чтобы вызвать доверие, а затем предлагали скачать архивы с якобы полезными инструментами. Внутри оказывался похититель данных, который собирал учётные записи, содержимое криптовалютных кошельков и другую информацию, а затем отправлял её через ботов в Telegram.
Позже специалисты Google Cloud сообщили , что связанные с Вьетнамом участники, которых отслеживают под именем UNC6229, сменили тактику. Вместо фальшивых сервисов они начали публиковать поддельные вакансии . Жертвами становятся соискатели, студенты и специалисты по цифровому продвижению. Под видом анкеты или тестового задания людям предлагают загрузить файл, в котором скрывается троян для удалённого управления. Анализ новой версии показал многоступенчатую схему заражения, подгрузку библиотек через подмену DLL и использование Telegram для управления, что связывает кампанию с тем же вьетнамским окружением, что и Noodlophile.
Самым любопытным оказался ответ авторов на публичность. В новых образцах они добавили миллионы повторов оскорбительной фразы на вьетнамском языке, адресованной компании Morphisec. Этот приём не только выражает раздражение из-за сорванных атак, но и раздувает размер файла. Заодно он выводит из строя инструменты анализа, которые разбирают байт-код Python с помощью стандартной библиотеки dis, поскольку из-за объёма данных такие средства просто падают.
Создатели вредоносной программы Noodlophile , похоже, болезненно отреагировали на публикации о своей деятельности. После того как исследователи подробно разобрали их инструмент, авторы решили ответить своеобразным способом и попытались одновременно отомстить и запутать системы автоматического анализа.
Впервые Noodlophile обнаружили в мае 2025 года. Тогда выяснилось, что программа скрывалась за поддельными сервисами для создания видео с помощью искусственного интеллекта, которые активно продвигали на Facebook*. Злоумышленники искусственно накручивали популярность страниц, чтобы вызвать доверие, а затем предлагали скачать архивы с якобы полезными инструментами. Внутри оказывался похититель данных, который собирал учётные записи, содержимое криптовалютных кошельков и другую информацию, а затем отправлял её через ботов в Telegram.
Позже специалисты Google Cloud сообщили , что связанные с Вьетнамом участники, которых отслеживают под именем UNC6229, сменили тактику. Вместо фальшивых сервисов они начали публиковать поддельные вакансии . Жертвами становятся соискатели, студенты и специалисты по цифровому продвижению. Под видом анкеты или тестового задания людям предлагают загрузить файл, в котором скрывается троян для удалённого управления. Анализ новой версии показал многоступенчатую схему заражения, подгрузку библиотек через подмену DLL и использование Telegram для управления, что связывает кампанию с тем же вьетнамским окружением, что и Noodlophile.
Самым любопытным оказался ответ авторов на публичность. В новых образцах они добавили миллионы повторов оскорбительной фразы на вьетнамском языке, адресованной компании Morphisec. Этот приём не только выражает раздражение из-за сорванных атак, но и раздувает размер файла. Заодно он выводит из строя инструменты анализа, которые разбирают байт-код Python с помощью стандартной библиотеки dis, поскольку из-за объёма данных такие средства просто падают.