Cybersecurity-onderzoekers hebben gewaarschuwd voor een zich actief uitbreidend botnet genaamd Tsundere dat is gericht op Windows-gebruikers.
De dreiging is actief sinds medio 2025 en is ontworpen om willekeurige JavaScript-code uit te voeren die is opgehaald van een command-and-control (C2)-server, zei Kaspersky-onderzoeker Lisandro Ubiedo in een vandaag gepubliceerde analyse.
Er zijn momenteel geen details over de manier waarop de botnet-malware wordt verspreid; In ten minste één geval zouden de bedreigingsactoren achter de operatie echter een legitieme Remote Monitoring and Management (RMM)-tool hebben gebruikt als kanaal om een MSI-installatiebestand van een gecompromitteerde site te downloaden.
De namen die aan de malware-artefacten zijn gegeven – Valorant, r6x (Rainbow Six Siege X) en cs2 (Counter-Strike 2) – suggereren ook dat het implantaat waarschijnlijk wordt verspreid met behulp van lokmiddelen voor games. Het is mogelijk dat gebruikers die zoeken naar illegale versies van deze spellen het doelwit zijn.
Ongeacht de gebruikte methode is het nep-MSI-installatieprogramma ontworpen om Node.js te installeren en een loader-script te starten dat verantwoordelijk is voor het ontsleutelen en uitvoeren van de belangrijkste botnet-gerelateerde payload. Het bereidt ook de omgeving voor door drie legitieme bibliotheken te downloaden, namelijk ws, ethers en pm2, met behulp van een “npm install”-opdracht.
“Het pm2-pakket is geïnstalleerd om ervoor te zorgen dat de Tsundere-bot actief blijft en wordt gebruikt om de bot te starten”, legt Ubiedo uit. “Bovendien helpt pm2 persistentie op het systeem te bereiken door naar het register te schrijven en zichzelf te configureren om het proces opnieuw te starten bij het inloggen.”
Uit Kaspersky’s analyse van het C2-paneel is gebleken dat de malware ook wordt verspreid in de vorm van een PowerShell-script, dat een vergelijkbare reeks acties uitvoert door Node.js op de getroffen host te implementeren en ws en ethers als afhankelijkheden te downloaden.
Hoewel de PowerShell-infector geen gebruik maakt van pm2, voert deze dezelfde acties uit als in het MSI-installatieprogramma door een registersleutelwaarde te creëren die ervoor zorgt dat de bot bij elke aanmelding wordt uitgevoerd door een nieuw exemplaar van zichzelf te genereren.
Het Tsundere-botnet maakt gebruik van de Ethereum-blockchain om details van de WebSocket C2-server op te halen (bijvoorbeeld ws://193.24.123(.)68:3011 of ws://185.28.119(.)179:1234), waardoor een veerkrachtig mechanisme ontstaat waarmee aanvallers de infrastructuur kunnen roteren door simpelweg een slim contract te gebruiken. Het contract is op 23 september 2024 tot stand gekomen en heeft tot nu toe 26 transacties gehad.
Zodra het C2-adres is opgehaald, wordt gecontroleerd of het een geldige WebSocket-URL is en gaat vervolgens verder met het tot stand brengen van een WebSocket-verbinding met het specifieke adres en het ontvangen van JavaScript-code die door de server is verzonden. Kaspersky zegt dat het tijdens de observatieperiode geen enkele vervolgopdracht van de server heeft waargenomen.
“De mogelijkheid om code te evalueren maakt de Tsundere-bot relatief eenvoudig, maar biedt ook flexibiliteit en dynamiek, waardoor botnetbeheerders deze kunnen aanpassen aan een breed scala aan acties”, aldus Kaspersky.
De botnetoperaties worden gefaciliteerd door een controlepaneel waarmee ingelogde gebruikers nieuwe artefacten kunnen bouwen met behulp van MSI of PowerShell, administratieve functies kunnen beheren, het aantal bots op een bepaald moment kunnen bekijken, hun bots kunnen omzetten in een proxy voor het routeren van kwaadaardig verkeer, en zelfs door botnets kunnen bladeren en deze kunnen kopen via een speciale marktplaats.
Wie er precies achter Tsundere zit is niet bekend, maar de aanwezigheid van de Russische taal in de broncode voor logdoeleinden verwijst naar een dreigingsacteur die Russisch spreekt. Er wordt beoordeeld dat de activiteit functionele overlappingen vertoont met een kwaadaardige npm-campagne die in november 2024 werd gedocumenteerd door Checkmarx, Phylum en Socket.
Bovendien is vastgesteld dat dezelfde server het C2-paneel host dat geassocieerd is met een informatiedief die bekend staat als 123 Stealer, die beschikbaar is op abonnementsbasis voor $ 120 per maand. Het werd voor het eerst geadverteerd door een bedreigingsacteur genaamd “koneko” op een dark web-forum op 17 juni 2025, volgens het KrakenLabs-team van Outpost24.
Een andere aanwijzing die wijst op de Russische oorsprong is dat het de klanten verboden is de dief te gebruiken om Rusland en de landen van het Gemenebest van Onafhankelijke Staten (GOS) aan te vallen. “Overtreding van deze regel zal resulteren in de onmiddellijke blokkering van uw account zonder uitleg”, zei Koneko destijds in de post.
“Infecties kunnen plaatsvinden via MSI- en PowerShell-bestanden, die flexibiliteit bieden als het gaat om het vermommen van installatieprogramma’s, het gebruik van phishing als toegangspunt of de integratie met andere aanvalsmechanismen, waardoor het een nog formidabelere bedreiging wordt”, aldus Kaspersky.
