Ve světě kyberzločinu platí jedno nepříliš poetické pravidlo – kdo chvíli stál, už stojí opodál. A jak ukazuje nový výzkum bezpečnostní firmy Sophos, ani hackeři nejsou v bezpečí před vlastní komunitou. V rozsáhlé kampani, která začala už v roce 2024, se totiž terčem útoků nestali běžní uživatelé, ale právě ti, kteří chtěli malware vytvářet, šířit, nebo podvádět ve hrách.

Sakura RAT: návnada s háčkem

Celý příběh začíná relativně nevinně – zákazník Sophosu se dotazoval, zda bezpečnostní platforma dokáže detekovat Sakura RAT, údajně sofistikovaný open-source malware, který se šířil přes GitHub a měl disponovat "pokročilými schopnostmi obcházení detekce". Na první pohled zajímavý projekt, který se mohl hodit – alespoň těm, kteří si zahrávají s nelegálním softwarem.

Jenže při hlubší analýze tým Sophosu zjistil, že Sakura RAT představuje nebezpečí pouze pro ty, kdo ho kompilují a chtějí dál šířit. Jinými slovy: malware byl sám infikován zadními vrátky.

Past na začátečníky a podvodníky ve hrách

RAT (Remote Access Trojan) samotný nebyl nijak převratný – většina kódu pocházela z veřejně dostupného AsyncRAT, a jeho formuláře byly často prázdné. Jinými slovy: jako nástroj pro špionáž nebo útoky by vůbec nefungoval. Jenže při kompilaci a spuštění se aktivoval skrytý mechanismus, který otevíral dveře útočníkovi – tentokrát nikoli do cizího systému, ale do počítače samotného hackera.

Foto: Freepik

Analýza odhalila, že za tímto trikem stál útočník vystupující pod přezdívkou ischhfd83, který vytvořil více než 100 různých variant infikovaného malwaru. Sophos identifikoval celkem 141 repozitářů, z nichž 133 obsahovalo škodlivé kódy, přičemž 111 mělo zabudovanou verzi Sakura RAT.

Cíl: Nezkušení hackeři a cheateři

Zhruba 58 % těchto škodlivých projektů bylo prezentováno jako herní cheaty, 24 % jako nástroje pro kyberútoky, 7 % jako boti, 5 % jako kryptoměnové nástroje a zbytek tvořily různé utility. Cíl byl jasný: mladí nebo nezkušení uživatelé, kteří chtějí jednoduše cheatovat v online hrách nebo si zkusit "vlastní malware" – a často bez dostatečné technické znalosti bezpečnostních rizik.

Zkušenější útočníci by si podle Sophosu dali větší pozor: pustili by kód do sandboxu, analyzovali komentáře a repozitář – a pravděpodobně by si všimli, že většina aktivit v těchto projektech pochází od botů se skoro totožnými jmény.

Zrada zevnitř: hackeři napadají hackery

Tato kampaň, která nebyla oficiálně připsána žádné známé skupině, je výjimečná tím, že útočí přímo do středu kyberzločinecké komunity. Místo útoků na firmy, instituce nebo běžné uživatele se zaměřuje na ty, kteří chtějí tvořit škodlivé nástroje. A útočník na tom vydělává nejen přístupem k jejich systémům, ale i tím, že eliminuje potenciální konkurenci.

Je to čistý případ "friendly fire" v hackerském světě – jenže tady vás nekosí nepozorný spoluhráč v FPS hře, ale vaše vlastní naivita nebo pýcha.