Powrót do strony głównej

Złośliwe reklamy narzędzi IT: atak SmokedHam i Qilin

Na początku 2026 roku europejskie firmy są atakowane poprzez złośliwe reklamy narzędzi IT. Przestępcy rozpowszechniają backdoor SmokedHam i ransomware Qilin. Analitycy łączą kampanię z grupą UNC2465.

Jak fałszywe instalatory narzędzi IT otwierają hakerom dostęp do Twojej sieci
Advertisement 728x90

Złośliwe reklamy narzędzi IT: jak hakerzy przenikają do europejskich firm przez fałszywe instalatory

Na początku 2026 roku europejskie organizacje stanęły w obliczu nowej fali cyberataków, w których przestępcy wykorzystują złośliwe reklamy w wyszukiwarkach do rozpowszechniania backdoora SmokedHam pod pozorem legalnych narzędzi IT. W niektórych przypadkach atak kończy się wdrożeniem oprogramowania ransomware Qilin. Specjaliści Orange Cyberdefense łączą kampanię z grupą UNC2465, znaną wcześniej z ataków z użyciem DarkSide, LockBit i Hunters International.

Mechanizm ataku: od reklamy do pełnej kontroli

Atak rozpoczyna się od wykupienia reklam w wyszukiwarkach, które promują fałszywe strony pobierania popularnych narzędzi dla administratorów systemów. Użytkownik szukający np. RVTools lub Remote Desktop Manager może kliknąć w reklamę i pobrać złośliwy instalator. Po uruchomieniu na urządzenie trafia backdoor SmokedHam, zapewniający atakującym zdalny dostęp.

W jednym z incydentów badanych przez Orange Cyberdefense infekcja doprowadziła do wdrożenia ransomware Qilin. Operatorzy stosowali zaawansowane metody ukrywania: używali dwóch różnych rozwiązań do monitorowania pracowników, mieszali złośliwe działania z pracą legalnych narzędzi administracyjnych (PuTTY, Kitty, Zoho Assist, Total Commander), a także wykorzystywali Cloudflare Workers i standardowe punkty końcowe AWS do maskowania ruchu.

Google AdInline article slot

SmokedHam: ewolucja backdoora

Analitycy Orange Cyberdefense przeanalizowali ponad 30 próbek SmokedHam zebranych w latach 2025-2026. Okazało się, że operatorzy stale modyfikują narzędzie: zmieniają się sposoby dostarczania, metody utrwalania w systemie i wykorzystywane podatności. Świadczy to o wysokiej aktywności grupy i ciągłym ulepszaniu arsenału. Backdoor może pobierać dodatkowe moduły, zapewniając elastyczność w przeprowadzaniu ataków.

Kto stoi za atakami: grupa UNC2465

Z umiarkowaną pewnością Orange Cyberdefense łączy kampanię z UNC2465. Grupa ta lub związany z nią partner pojawiali się wcześniej w atakach z użyciem znanych ransomware, takich jak DarkSide, LockBit i Hunters International. Wniosek opiera się na nakładaniu się taktyk, technik i wykorzystywanej infrastruktury. Atakujący aktywnie celują w europejskie organizacje, co potwierdza geografia incydentów od lutego do kwietnia 2026 roku.

Co jest ważne

  • Złośliwe reklamy w wyszukiwarkach to skuteczny wektor początkowego wnikania do europejskich firm.
  • Pod pozorem legalnych narzędzi IT (RVTools, Remote Desktop Manager, PuTTY) rozpowszechniany jest backdoor SmokedHam.
  • W niektórych atakach po SmokedHam następuje wdrożenie ransomware Qilin.
  • Operatorzy stosują kilka poziomów ukrywania: legalne narzędzia administracyjne, Cloudflare Workers, AWS.
  • Grupa UNC2465, powiązana z wcześniejszymi atakami ransomware, prawdopodobnie stoi za kampanią.

Kontekst i konsekwencje

Wykorzystanie malvertisingu do rozpowszechniania złośliwego oprogramowania to nie nowa taktyka, ale jej skuteczność rośnie dzięki możliwości targetowania konkretnych grup zawodowych. Administratorzy systemów i specjaliści IT, szukający narzędzi do pracy, stają się priorytetowym celem. Ponieważ ataki są wymierzone w europejskie organizacje, firmy muszą wzmocnić kontrolę nad pobieraniami i wdrożyć uwierzytelnianie wieloskładnikowe, a także szkolić pracowników w rozpoznawaniu podejrzanych reklam.

Google AdInline article slot

W celu ochrony zaleca się korzystanie z oficjalnych źródeł pobierania, sprawdzanie podpisów cyfrowych instalatorów oraz ograniczanie użycia uprawnień administracyjnych. Ważne jest również monitorowanie ruchu sieciowego pod kątem podejrzanych połączeń przez Cloudflare Workers lub AWS.

— Editorial Team

Advertisement 728x90

Czytaj dalej