Millenium RAT 4.x
A Group-IB elemzése a Millenium RAT 4.x verzióját mutatja be, amely technikai fejlesztésen ment keresztül, a korábbi .NET alapú implementációt natív C++ kód váltotta fel, ami kisebb erőforrásigényt, jobb teljesítményt és nehezebb észlelhetőséget eredményez. A távoli hozzáférést biztosító trójai továbbra is a Telegram Bot API-t használja C2 kommunikációra, így nincs szükség dedikált C2 infrastruktúrára, elegendő egy Telegram bot token. A malware MaaS modellben érhető el, fejlesztője a ShinyEnigma néven ismert szereplő, míg az aktív kampányokat a Group-IB által Y2K Operators néven követett bűnözői klaszter folytatja. A kutatók szerint 2026 első negyedévében a kampányok több mint 62 000 végpontot értek el 160-nál több országban, elsősorban adathalász e-mailek, hamis szoftverletöltések és közösségi médián keresztül terjesztett csalások révén.
A Millenium RAT teljes értékű távoli hozzáférést biztosít a kompromittált Windows rendszerekhez, képes billentyűleütések naplózására, képernyőképek készítésére, fájlkezelésre, hitelesítő adatok és kriptovaluta-tárcák ellopására, valamint további kártevők letöltésére és futtatására. A Group-IB szerint a fejlesztők folyamatosan bővítik a funkcionalitást, miközben egyszerű, előfizetéses MaaS-modellben értékesítik a kártevőt a bűnözői fórumokon. A jelentés részletesen elemzi a malware architektúráját, a Telegram-alapú C2 működését, a fejlesztő és az üzemeltetői kör kapcsolatát, továbbá IOC-kat és technikai indikátorokat is közzétesz.
