Группа хакеров TheWizards, связанная с Китаем, использует функцию IPv6 для атак, которые позволяют перехватывать обновления программ и устанавливать вредоносное ПО на Windows. Об этом сообщает компания ESET.
Группа активна с 2022 года. Цели атак — пользователи и организации на Филиппинах, в Камбодже, ОАЭ, Китае и Гонконге. Среди жертв — частные лица и компании, включая игорный бизнес.
Хакеры применяют свой инструмент под названием Spellbinder. Он использует функцию SLAAC в IPv6. Эта функция позволяет устройствам получать IP-адрес и шлюз без DHCP-сервера — через специальные RA-сообщения от роутера.
Spellbinder подделывает такие сообщения. В результате устройства получают поддельный IP-адрес, DNS-сервер и шлюз. Этот шлюз ведёт на машину с вредоносным ПО, которая перехватывает весь трафик.
По словам ESET, Spellbinder рассылает RA-пакеты каждые 200 миллисекунд. Устройства с включённым IPv6 автоматически перенастраиваются и отправляют трафик на компьютер с ПО хакеров.
Атака начинается с архива AVGApplicationFrameHostS.zip. Он распаковывается в папку, которая выглядит как настоящая программа AVG. В ней находятся файлы с именами, похожими на легитимные, но один из них запускает вредоносный код Spellbinder.
После заражения Spellbinder следит за сетевыми запросами к сайтам обновлений известных китайских компаний, таких как Tencent, Baidu, Xiaomi и других.
Хакеры перенаправляют эти запросы на свои серверы. Вместо настоящих обновлений загружается вредоносная программа WizardNet. Она даёт злоумышленникам постоянный доступ к компьютеру и возможность устанавливать другое ПО.
Чтобы защититься, специалисты рекомендуют отключить IPv6, если он не нужен, или следить за его трафиком. Ранее, в январе 2025 года, ESET также сообщала об атаке группы Blackwood. Тогда целью было обновление программы WPS Office.
