Дослідники компанії Atos зафіксували активну кампанію з поширення шкідливого програмного забезпечення, що цілеспрямовано атакує системних адміністраторів, DevOps-інженерів та фахівців з безпеки. Зловмисники отруюють результати пошуку у Bing, Yahoo, DuckDuckGo та Yandex: коли IT-спеціалісти шукають легальні утиліти — PsExec, AzCopy, Sysmon, LAPS або KustoExplorer — у верхніх рядках пошукової видачі з’являються фейкові, але зовні бездоганні репозиторії на GitHub. Ці репозиторії не містять шкідливого коду напряму — вони виступають лише шлюзом, що перенаправляє користувача на прихований вторинний акаунт, де і розміщена реальна шкідлива програма. Atos підтвердила, що кампанія залишається активною і суттєво еволюціонувала з моменту першого виявлення у березні 2026 року.

В центрі кампанії — троян віддаленого доступу EtherRAT, написаний на JavaScript. Його ключова особливість: адреса командного сервера зберігається у блокчейні Ethereum, а не на традиційному домені. Це означає, що навіть якщо заблокувати IP-адресу або закрити домен — малвар продовжить отримувати команди через децентралізовану мережу. Шкідливий код поширюється у вигляді MSI-інсталяторів, які виглядають як справжні версії PsExec чи Sysmon. Після встановлення EtherRAT забезпечує зловмисникові повний прихований доступ до зараженої системи. Техніка «отруєння пошукової видачі» у комбінації з блокчейн-керуванням робить цю кампанію особливо стійкою до протидії.