Remcos, разработен от Breaking-Security, е комерсиален инструмент за отдалечен достъп (RAT), който се предлага като легитимен софтуер за „Remote Administration“. Въпреки това той остава популярен сред киберпрестъпници за нелегален достъп и кражба на чувствителни данни.

Функционалности и архитектура

Първоначално пуснат през средата на 2010-те години, Remcos предлага широк набор от възможности за отдалечено управление, включително:

• Изпълнение на команди на целевата система

• Прехвърляне на файлове

• Заснемане на екрана

• Keylogging

• Събиране на идентификационни данни

Инструментът комуникира с Command-and-Control (C2) сървъри чрез HTTP и HTTPS, често използвайки стандартни или персонализирани портове, за да избегне детекция. Модулната му структура и конфигурируемите инсталатори осигуряват висока гъвкавост за персистентност и укриване.

Въпреки че се предлага в безплатна и платена Pro версия, често се наблюдават и кракнати варианти, използвани от нападатели за неоторизиран достъп.

Методи на разпространение и персистентност

Remcos остава активно разработван, което поддържа популярността му сред киберпрестъпниците. Основните методи на доставка включват:

• Фишинг имейли с прикачени зловредни файлове (ZIP, документи на Microsoft Office)

• Компрометирани уебсайтове

• Вторичен payload чрез известни loader-и като GuLoader и Reverse Loader

След изпълнение на целевата система, RAT-ът обикновено:

• Създава персистентност чрез Windows Scheduled Tasks или Run key в регистъра

• Комуникира с C2 сървъра чрез HTTP/HTTPS сигнали (beacons)

• Използва стандартни и алтернативни портове – 2404, 80, 443, 8080

• Маскира изпълнимия файл под имена като remcos.exe или svchost.exe

Мрежовите защитници могат да откриват Remcos чрез кодиран POST трафик и необичайни TLS конфигурации.

Глобална инфраструктура

Според данни на Censys за периода 14 октомври – 14 ноември 2025 г., са открити над 150 активни Remcos C2 сървъра онлайн.

• Основен порт: 2404, но също 5000, 5060, 5061, 8268 и 8808

• Някои сървъри излагат RDP и SMB услуги, което подсказва директен достъп до системи

• Основни хостинг държави: САЩ, Нидерландия, Германия; по-малки клъстери: Франция, Великобритания, Турция, Виетнам

• Основни хостинг доставчици: COLOCROSSING, RAILNET, CONTABO, често използвани за нискобюджетни и слабо наблюдавани сървъри

Често се наблюдава повторна употреба на SSL/TLS сертификати между различни IP адреси, което подсказва автоматизирани или шаблонни настройки на инфраструктурата.

Препоръки за защита

Ключовите мерки за защита срещу Remcos включват:

• Непрекъснат мониторинг на изходящия HTTP/HTTPS трафик

• Алармиране при комуникация с известни Remcos C2 сървъри

• Анализ на предвидими портове и TLS аномалии

• Действия по блокиране преди значителна загуба на данни

Проактивният мониторинг и анализ на мрежовия трафик остават най-ефективният начин за разкриване и прекъсване на операции на Remcos в корпоративни и защитени мрежи.