Red Team Infrastructure The Full Picture

Это самый полный гайд в 2026 году по созданию современной, устойчивой и максимально скрытой инфраструктуры для Red Team, — начиная от покупки домена, заканчивая получением отстуков.

Сегодня недостаточно просто купить VDS и поднять там C2 из коробки, — такие серверы быстро найти, а получить бан можно уже через 30 секунд после запуска.

Для того, чтобы этого не случилось, надо поднять инфру, которая замаскирует тебя и твой сервер. Чем автор и поделился — в статье он рассказывает о том, как сделать это максимально эффективно, а именно:
— подготовить прогретый домен
— настроить CDN Relay через Microsoft / AWS / Google
— поднять Redirector с многослойной фильтрацией
— сконфигурировать Malleable-профиль и изолировать Team Server

Бонусом он добавил про поднятие инфраструктуры для фишинга с нуля. Отдельно еще советую отдельную статью о том, как это можно все автоматизировать с помощью Terraform.

Выложили доклады с конференции DEF CON 33. Она прошла в Лас-Вегасе и оказалась одной из самых крупных DEF CON за всю историю — конференцию посетили около 26 000 человек, а на YouTube уже опубликовано более 350(!) видео.

Среди них много докладов на самые разные темы — от классического веба и hardware-хакинга (и куда же без AI) до совсем неожиданных направлений: гайда по отмыванию средств с помощью криптовалюты, современного подхода к кардингу и взлома физических замков в отелях.

Один из участников, даже не смотря на угрозы судом, рассказал, как ему удалось разреверсить современные морские двигатели, найти способ удаленно менять их мощность, и перехватывать управление.

Собрал пару интересных тем, чтобы ты мог оценить для себя:
1. Exploiting Security Side Channels in E2E Encrypted Msngrs
2. Mapping the Shadow War From Estonia to Ukraine
3. Infecting the Boot to Own the Kernel
4. New Red Team Networking Techniques for Initial Access and Evasion
5. Breakin 'Em All – Overcoming Pokemon Go's Anti Cheat Mechanism
6. BitUnlocker: Leverage Windows Recovery to Extract BitLocker Secrets
7. Turning Microsoft's Login Page into our Phishing Infrastructure
8. Tactical Flipper Zero You Have 1 Hour and No Other Equipment
9. How malicious packages on npm bypass existing security tools
10. TSPU: Russia's Firewall and Defending Against Digital Repression

Полный плейлист со всеми докладами тут.

CrackArmor

Ресерчеры из Qualys дропнули отчёт о девяти уязвимостях, которые им удалось найти в AppArmor — системе безопасности Linux, которая по умолчанию включена в Ubuntu, Debian и SUSE.

Главное, что нужно знать — баги затрагивают все версии ядра Linux начиная с версии 4.11 (2017 год) и позволяют создавать/удалять профили AppArmor, а также повышаться до рута.

PoC

Основная уязвимость — это Confused Deputy, который заключается в том, что файлы AppArmor (.load, .replace, .remove) может открыть любой пользователь, но писать в них может только привилегированный процесс. С помощью su --pty любой пользователь может перенаправить stdout su прямо в эти файлы — и скормить ему нужные данные через PTY.

Благодаря этому, мы можем загружать свои политики — и добраться до root тремя способами:

1. Sudo + Postfix — загружаем профиль, который запрещает CAP_SETUID для sudo. sudo ломается, пытается уведомить администратора по почте, но не может сбросить привилегии перед запуском sendmail — и запускает его от root с переменными окружениями атакующего.

2. Use-after-free — баг в парсере ядра позволяет обратиться к уже освобождённой памяти. Через манипуляции с page table страница /etc/passwd становится записываемой — убираем пароль root и заходим через su.

3. Double-free — двойное освобождение памяти при парсинге профиля. Через цепочку манипуляций с памятью ядра перезаписываем uid прямо в структуре cred процесса — и получаем root.

RegPwn (CVE-2026-24291)

LPE с помощью Windows Accessibility features. Про уязвимость рассказали парни из MDSec, которые использовали ее как 0day с января 2025 года.

Главная особенность в том, что индикаторы компрометации минимальны и практически неотличимы от легитимной активности. Нет создания новых файлов, запуска подозрительных бинарей или необычных процессов.

Всё происходит внутри встроенных фичей Windows Accessibility, типа экранной клавиатуры. А изменения в реестре, которые выполняет эксплоит, выглядят как обычная настройка и применений опций пользователем.

Затрагивает
— Windows Server 2016/2019/2022/2025
— Windows 11
— Windows 10

exploit

А мы и не думали

Клиент Telega, который используют россияне, чтобы "обходить" блокировку Telegram, перехватывает весь трафик. Более того, существует админка, из которой можно мониторить весь флоу переписок.

Технически это работает так — вместо заблокированных IP-адресов Telegram, в клиент вшит IP-адрес и публичный ключ датацентра, предположительно, от VK.

Этот dc-proxy контролирует хэндшейк. Именно он договаривается с клиентом об одном ключе шифрования, а с настоящим сервером Telegram о другом ключе шифрования. Будучи посередине между клиентом и сервером, он может просматривать, сохранять и модифицировать весь трафик.

Благодаря этому, сотрудники Telega могут:
— читать все входящие и исходящие сообщения в любом чате;
— просматривать всю историю сообщений в любом чате;
— подменять контент сообщений — например, блокировать неугодные каналы по причине “нарушения правил Telegram” (не Telega!);
— хранить все ваши данные и действия в Telegram и передавать их третьим лицам
— выполнять абсолютно любые действия с вашим аккаунтом без вашего участия.

Причем могут они это делать не теоретически, а вполне реально. Существуют, как минимум, две админки:
1. Zeus — позволяет блокировать любой ресурс для клиента
2. Сerberus — из нее можно в реальном времени смотреть/удалять флоу общения

Обе они были доступны в интернете, и теперь посмотреть демку можно тут.

Количество скачиваний клиента на данный момент перевалило за 5млн. в Google Play. На сегодня это одно из самых популярных spyware, который почему-то ещё до сих пор не снесли из магазина.

Надо отметить, что любой с этим клиентом представляет угрозу. И если ты думаешь, что в твоем окружении таких людей нет, то вспомни о каком-нибудь приватной группе или канале — вступил хотя бы один пользователь Telega, и такой чат уже скомпрометирован.

Нашелся даже способ, чтобы это проверить. Tg ID маппятся к какому-то внутреннему идентификатору VK, и маппинг можно чекнуть с помощью незадокументированного метода в calls.okcdn.ru. На вход подается Tg ID, а в ответе нужно искать ok_user_id, — если есть, пользователь использовал Telega.

Пример

curl -X POST "https://calls.okcdn.ru/api/vchat/getOkIdsByExternalIds" \
  -H "Content-Type: application/x-www-form-urlencoded" \
  --data-urlencode "application_key=CHKIPMKGDIHBABABA" \
  --data-urlencode "session_key=<SESSION_KEY>" \
  --data-urlencode "externalIds=[{\"id\":\"1363800669\",\"ok_anonym\":false}]"

сессионный ключ надо заранее получить так.

Только среди первых 8.5кк id удалось спарсить более 800 пользователей

На Github даже кто-то написал бота, который после вступления кикает пользователя из чата, если тот есть в Telega. Но он бесполезный, так как есть гап между моментом вступления и удаления, из-за которого можно успеть прочитать чат.

Единственный способ защититься — создать частную группу с ручным одобрением заявок на вступление и проверять пользователей до того, как они оказались в чате.

Этим можно взломать любого

В Telegram нашли критическую уязвимость, которую оценили в 9.8 по CVSS. Детали пока не разглашают. Но, судя по почти максимальной оценке, это может быть 0-click RCE. Иными словами, баг, позволяющий получить доступ к чужому устройству, просто отправив что-то собеседнику.

Ее нашел Michael DePlante — ресерчер, который вот уже несколько лет охотится за багами в Apple, Adobe, Avast и других крупных компаниях. Только за 2024 год он нашёл 37 уязвимостей, а всего — 150+. Причём многие из них связаны с неправильным парсингом файлов, что повышает вероятность на RCE в Telegram.

Патча пока нет, а подробности станут известны не позднее 24.07.2026, когда уже можно будет раскрыть инфу.

Интересно, есть ли канал с нефтебазами

Гении из «Роснефти» добровольно уже на протяжении года сливают данные своих сотрудников.

Вместо закрытого чата, они создали открытый на всех канал в Telegram, где публикуют маршрутные квитанции.

В них можно найти:
— ФИО
— дату рождения
— номер паспорта

Всего опубликовано больше 7 тысяч PDF.

Ответ TG по поводу уязвимости

Пресс-служба компании (почему-то вместо инженеров в репорте) заявляет, что все стикеры валидируются перед тем, как их загрузить на сервер, и "flaw does not exist".

Но правда ли это?

Напомню, что еще с 2022 года в мессенджере не исправлены DOS-стикеры, которые у всех роняют приложение. Их все еще можно загружать, и они все так же хорошо крашат клиент, как и 4 года назад.

Я не верю, что это совпадение

За прошедшие сутки прошло два события:

1. У пользователей на российских номерах (независимо от платформы) в Telegram начал появляться баннер о том, что они больше не смогут оплатить Telegram Premium.

2. Telega анонсировала собственную подписку

Чтобы расти дальше, нам необходимо серьезное финансирование, и мы думаем запустить собственную подписку. Поддержали бы такой формат?

И это после нарушения GPLv2, вместе со скандалом с перехватом трафика у нескольких миллионов пользователей.

Получается красивая картина: вместо того чтобы выпилить шпионский клиент из всех магазинов и отозвать у него api_id, Дуров фактически легализовал его. И мало того — позволит ему спокойно отбирать платежных пользователей у самого Telegram.

The-A-Files — обходим антивирусы треками Клонекса

Наблюдать за TeamPCP интересно — они сформировались совсем недавно, за последнее время хайджекнули несколько очень популярных пакетов, включая Trivy, Checkmarx, LiteLLM, Telnyx, написали собственного червя CanisterWorm, и продолжают осваивать редкие и продвинутые тактики, вроде блокчейна в качестве C2.

После достигнутых успехов они также запартнерились с Vect Ransomware Group и вряд ли позволят о себе забыть в ближайшее время.

В своей последней атаке группа использовала стеганографию. Чтобы доставить малварь на таргет, они скрыли полезную нагрузку внутри звукового .wav, который выглядит легитимно в трафике и помогает обходить антивирусы, ориентирующихся на более распространенные форматы.

В качестве техники выбрали Payload Packing. Это довольно примитивный подход, при котором аудиофреймы переписываются зашифрованной нагрузкой. Хотя он и выполняет свою задачу, минусы очевидны — вместо реального аудио будет белый шум, а в качестве «шифрования» TeamPCP почему-то выбрали XOR.

В репозитории The A-Files можно найти куда более изощрённые техники, например:
— Least Significant Bit — замена отдельных битов, практически не влияющих на исходный звук
— Phase Coding — кодирование через изменение фазы без заметной потери качества
— Echo Hiding — внедрение слабых искусственных эхо с различными параметрами

И это только малая часть доступных методов — для каждого из них в репозитории есть реализации.

Кроме того, при определенном подходе такие файлы даже можно загружать на некоторые реальные стриминги — но надо учитывать главный минус, что не все из них «выживут» — агрессивная компрессия или перекодирование просто уничтожат нагрузку.

Сотрудники ФБР смогли прочитать переписку из Signal

Им удалось это сделать, несмотря на E2EE-шифрование и автоудаление переписки по таймеру. Причиной стали пуш-уведомления от Apple, в которых отображалось содержимое переписок. Они оседают на серверах, а также сохраняются в системное хранилище смартфона и остаются там даже после удаления приложения.

Для защиты в Signal существует настройка, которая была отключена у задержанной. Она скрывает получателя и сам текст сообщения. Чтобы ее включить, нужно перейти в профиль > Notifications > Show и выбрать «No name or message».

Nyx

Ультимативный скрипт для заметания следов, работающий по принципу «выжженной земли».

Ни для кого не секрет, что современные ОС работают как первоклассные стукачи, записывая каждое твоё действие в десятки отдельных папок и веток реестра. Запоминать и вычищать всё это вручную — путь в никуда.

Вот только пара интересных мест в Windows, о которых ты мог не знать:
— ShimCache (AppCompatCache): хранит данные о запускаемых бинарниках для обеспечения совместимости. Хранится в памяти и сбрасывается в реестр при выключении. Это один из первых векторов, куда смотрит аналитик, чтобы восстановить таймлайн твоих действий.
— ShellBags: Windows помнит каждую папку, которую ты открывал, её размер, положение окна и время доступа. Даже если ты удалил папку и затер её шредером — запись в реестре расскажет, что она там была.
— UserAssist: списки запускаемых программ с их счетчиками и временем последнего старта

evilsocket — исследователь с опытом в 20 лет и создатель bettercap — выпустил решение, которое делает всю грязную работу за тебя.

Nyx проходит катком по всем местам, где система могла сохранить метаданные о твоих действиях, запущенном софте или подключенных устройствах, устраивая настоящий ад для цифровой криминалистики. Он не только стирает логи операционной системы, но и умеет даже вырезать артефакты EDR вроде CrowdStrike или SentinelOne.

Поддерживаются все основные ОС (Windows, Linux и MacOS), а размер скрипта умещается в строгие 39.2кб.