Group-IB güvenlik firmasının yeni analizine göre, Millenium RAT adı verilen ucuz ve Telegram kontrollü bir uzaktan erişim truva atı (RAT), 2026'nın ilk üç ayında 160'tan fazla ülkede 60.000'den fazla Windows cihazına bulaştı. Kötü amaçlı yazılımın en son sürümü, .NET framework'ten yerel C++'a yeniden yazılarak zayıf tespit araçlarını atlatmayı başarıyor.
Millenium RAT, hizmet olarak kötü amaçlı yazılım (MaaS) modeliyle düşük fiyata satılıyor ve Telegram Bot API'sini kullanarak komut alıyor. Bu sayede operatörlerin kendi sunucularına ihtiyacı kalmıyor. RAT, tarayıcılardan veri çalma, tuş vuruşlarını kaydetme, ekran görüntüsü alma ve ses kaydı yapma gibi tipik özelliklerin yanı sıra dosya indirip çalıştırma ve mavi ekran tetikleme gibi işlevlere de sahip.
ShinyEnigma kod adlı bir geliştirici, Millenium RAT'ı yeraltı forumlarında, GitHub'da ve özel bir web sitesinde satıyor. İlk ay için 50 dolar, sonraki aylar 10 dolar veya ömür boyu erişim için 90 dolar talep ediliyor. Group-IB, kampanyaları Y2K Operatörleri olarak izlediği bir kümeye atfediyor ve yalnızca 2026'nın ilk çeyreğinde 39.730 enfeksiyon tespit etti.
Uzmanların Görüşleri
Y2K Operatörleri, sosyal mühendislik yöntemleriyle truva atını oyun hilesi, crack yazılım ve hack araçları gibi tuzaklı indirmelerle yayıyor. Hatta diğer siber suçluları hedef alarak AsyncRAT ve XWorm gibi popüler araçların arka kapılı sürümlerini kullanıyor. Kurbanların UAC istemini onaylamasıyla yönetici yetkisi alan Millenium RAT, Windows sistem dosyası gibi gizleniyor. Group-IB, yeni özellikler ve adli bilişim karşıtı yöntemlerin geleceğini belirterek kullanıcıları beklenmedik yükseltme istemlerine karşı dikkatli olmaya ve güvenilmeyen kaynaklardan dosya çalıştırmamaya çağırıyor.