Закладки, описанные в обоих проектах, предназначены для перехвата учетных данных SSH, но работают с разными операционными системами и применяют различные векторы атаки.
BothanSpy нацелен на клиентскую программу Xshell для Microsoft Windows и позволяет воровать пользовательские данные для всех активных SSH сессий. Эти учетные записи могут являться именем пользователя и паролем в случае сеансов SSH с парольным подтверждением или названием файла закрытого SSH ключа и паролем от него в случае аутентификации по закрытому ключу. BothanSpy может отправлять украденные учетные данные на контролируемый ЦРУ сервер (в этом случае имплант никогда не использует файловую систему на целевой машине для хранения данных) или сохранять информацию в зашифрованном файле для дальнейшей отправки. BothanSpy устанавливается на целевой машине как расширение Shellterm 3.x.
Gyrfalcon представляет собой закладку для клиентов OpenSSH на платформе Linux (СentOS, Debian, Rhel, Suse, Ubuntu). Имплант может не только воровать учетные данные активных сессий, но также способен частично или полностью перехватывать трафик OpenSSH. Вся собранная информация хранится в зашифрованном файле для последующей передачи. Зловред устанавливается и настраивается на целевой машине с использованием специально разработанного ЦРУ инструментария (JQC / KitV).
Угрозы безопасности
• Google закроет функцию отчетов об утечках в даркнете в январе 2026 года
• Вредоносное ПО Cellik для Android создает зараженные версии приложений из Google Play
• Apple устранила две уязвимости нулевого дня, которые использовались в таргетированных атаках
• ChimeraWire: новый троян, который имитирует поведение пользователей для раскрутки сайтов
• Google устранила две уязвимости «нулевого дня» в Android, которые использовались в атаках
• ShadyPanda: Вредоносные расширения для Chrome и Edge установлены более 4,3 млн раз