Стефанія А. Автор Стефанія А.
Новини 29 Червня 2026 3 хв читання

Millenium RAT v4 заразив 62 тисячі ПК через Telegram C2

Group-IB повідомляє про понад 62 тисячі заражених Windows-пристроїв Millenium RAT v4. Пояснюємо, які завантаження небезпечні та що перевірити після запуску файлу.

Millenium RAT v4 карта заражень і перевірка Windows-ПК

Group-IB описала різке зростання заражень Millenium RAT версії 4: дослідники пов’язали з новою C++-збіркою понад 62 тисячі скомпрометованих Windows-пристроїв, причому майже 40 тисяч заражень припали на перший квартал 2026 року. Практичний ризик не обмежується віддаленим доступом: RAT може збирати дані браузера й системи, робити знімки екрана, записувати звук, перехоплювати натискання клавіш і завантажувати додаткові файли.

Для домашніх користувачів важливий саме шлях зараження. У звіті згадані фейкові утиліти, кряки, набори “хакерських” інструментів, Roblox-related tools та інші завантаження, які виглядають достатньо корисними, щоб їх запустили один раз. Якщо такий файл уже відкривався, ситуацію треба сприймати як можливий компроміс пристрою й акаунтів, а не як звичайний невдалий інсталятор.

Що знайшла Group-IB

Group-IB описує Millenium RAT 4.* як нативний C++ троян віддаленого доступу, який використовує Telegram Bot API для командного каналу. У звіті malware пов’язують із моделлю Malware-as-a-Service, іменем розробника ShinyEnigma та активністю кластера Y2K Operators.

Підтверджений фактЧому це важливо
62 289 скомпрометованих endpointів для Millenium RAT 4.*Кампанія достатньо масштабна, щоб підозрілі завантаження не вважати одиничними випадками.
39 730 заражень у Q1 2026Темп заражень дає новині актуальний response angle.
Командний канал через Telegram Bot APIЗловмисникам не потрібен окремий C2-сервер, що ускладнює блокування й розслідування.
Фейкові утиліти, кряки, OSINT tools і Roblox-related luresШлях зараження перетинається із завантаженнями, які користувачі часто шукають поза надійними магазинами.

Кому варто перевірити ПК

Перевірте систему, якщо нещодавно запускали кряк, “безкоштовну” утиліту, KYC bypass, bulk-mailer crack, Roblox tool, hacking bundle або будь-який executable із Telegram-каналу, форуму, файлообмінника чи GitHub-репозиторію, якому ви не довіряли заздалегідь. Так само варто реагувати, якщо після завантаження з’явилось коротке вікно консолі, новий автозапуск, незнайома активність у Telegram, вихід із браузерних сесій або сповіщення антивіруса.

Millenium RAT належить до тієї ж практичної категорії, що й інші RAT/stealer інциденти: файл може вже зникнути, але залишки в автозапуску, викрадені cookies, паролі та follow-on payloads усе ще потребують перевірки. Для схожого контексту дивіться матеріали про Deno RAT у фейкових завантаженнях і malware у модах та ігрових інструментах.

Що робити зараз

  1. Від’єднайтеся від ненадійних мереж, якщо система досі поводиться підозріло.
  2. Видаліть завантажений архів, інсталятор, кряк або утиліту й не запускайте файл повторно “для перевірки”.
  3. Запустіть повну перевірку на malware. Якщо файл уже виконувався, окремо перевірте автозапуск, заплановані завдання, розширення браузера й нові файли в Downloads, Temp, AppData та startup folders.
  4. Змініть паролі з чистого пристрою: спочатку email, банкінг, gaming, crypto, робочі сервіси й Telegram. Де можливо, завершіть активні сесії.
  5. Перегляньте browser sync і збережені платіжні дані. RAT із доступом до browser data може перетворити локальне зараження на захоплення акаунтів.
  6. Збережіть назви підозрілих файлів, шляхи та alerts перед масовим видаленням; це допоможе зрозуміти, чи був це Millenium RAT, інший stealer або generic PUA.

Якщо підозрілий файл запускався або сповіщення повертаються після quarantine, використайте Gridinsoft Anti-Malware для перевірки залишків loaderів, автозапуску, scheduled tasks, прихованих файлів, bundled apps і змін браузера. Сканування не повертає викрадені паролі, але допомагає прибрати локальну persistence перед відновленням нормальної роботи з акаунтами.

FAQ

Millenium RAT небезпечний тільки через Telegram?

Ні. Telegram використовується як командний канал у описаній версії, але зараження зазвичай починається з Windows-файлу, який користувач запускає сам.

Чи можуть постраждати домашні користувачі?

Так. У прикладах Group-IB є кряки, фейкові утиліти та ігрові інструменти, тобто типові consumer download paths.

Чи треба міняти паролі, якщо файл запускався лише один раз?

Так, якщо файл виконався. Змініть паролі з чистого пристрою та завершіть активні сесії, бо RAT може збирати browser і system data.

Джерела

  1. Group-IB. “Millenium: A RAT Rewritten, A Threat Multiplied.” Group-IB Blog, червень 2026, дата звернення: 29 червня 2026. https://www.group-ib.com/blog/millenium-rat-maas/
Стефанія А.
Автор Стефанія А.
Усі матеріали

Пишу про те, як зробити життя онлайн комфортним і безпечним. Вірю, що сучасний цифровий світ вартий того, щоб бути його частиною.