26 maja 2026 roku o godzinie 14:00:00 UTC — nie 14:00, ale 14:00:00 — trzy organizacje jednocześnie zamknęły cztery kanały C2 botnetu Glassworm. CrowdStrike, Google, Shadowserver Foundation.
Jedna sekunda. Osiem miesięcy przygotowań.
Większość doniesień o takedownie skupiła się na tym co się stało. Ten wpis skupia się na tym co musiało się wydarzyć zanim się stało — i na tym co prawdopodobnie dzieje się teraz gdy się już stało.
Dlaczego operatorzy Glassworm wybrali tę architekturę
Żeby zrozumieć dlaczego likwidacja była tak trudna, trzeba zrozumieć skąd wzięły się cztery kanały C2.
Każda sieć botnetów ma jedno fundamentalne słabe miejsce: kanał komunikacji między operatorem a zainfekowanymi maszynami. Zablokuj ten kanał — botnet staje się martwy. Historia likwidacji botnetów to historia zamykania właśnie tych kanałów: przejęcie domen, sinkholowanie DNS, confiscata serwerów, nakazy sądowe dla hostingodawców.
Operatorzy Glassworm przestudiowali tę historię i zaprojektowali system który odpowiada na każdą z tych metod osobno.
Solana blockchain jako jeden z kanałów. Blockchain jest zdecentralizowany — nie ma serwera do confiscaty, nie ma domeny do przejęcia, nie ma hostingodawcy do wezwania do sądu. Transakcje na Solanie są publiczne i nieodwracalne. GlasswormRAT szukał w metadanych transakcji od konkretnych portfeli zakodowanych adresów C2. Zamknięcie tego kanału wymagało współpracy z Solana Foundation i technik które uniemożliwiały odczyt instrukcji — nie usunięcia transakcji, bo usunąć ich nie można.
BitTorrent DHT jako drugi kanał. Sieć BitTorrent to miliony węzłów na całym świecie bez centrum. GlasswormRAT odpytywał sieć peer-to-peer BitTorrent pod kątem danych konfiguracyjnych przechowywanych przy hardkodowanych kluczach publicznych. Shadowserver z globalną infrastrukturą sensorów — ponad 200 serwerów monitoringowych w 60 krajach — był kluczowy przy tym kanale. Żadna inna organizacja nie ma wystarczającego pokrycia geograficznego żeby zakłócić DHT skutecznie. SecurityWeek
Google Calendar jako trzeci kanał. Glassworm używał tytułów wydarzeń Google Calendar jako lokalizacji do przechowywania zakodowanych Base64 ścieżek C2. Złośliwe oprogramowanie wywołuje publiczne API Google Calendar i czyta z pozornie normalnych wydarzeń w pozornie normalnych kalendarzach. Ruch do calendar.google.com jest oczekiwany w każdej sieci korporacyjnej i przepuszczany przez każdy firewall. Jedynym sposobem zamknięcia tego kanału było usunięcie kont kalendarzy przez Google — co wymagało ich wcześniejszej identyfikacji. Hoploninfosec
Serwery VPS jako czwarty kanał. Tradycyjna infrastruktura C2 — ostatnia warstwa. Tutaj trafiały właściwe payloady. Nakazy do hostingodawców, confiscata serwerów, standardowe procedury prawne.
Kombinacja blockchain, peer-to-peer i legalnych usług webowych jako warstw rozwiązywania była zaprojektowana żeby być odporna na likwidację — dynamiczny front chroniący właściwe serwery C2 za wieloma warstwami pośrednictwa. Hoploninfosec
Żadna z tych czterech technologii nie jest przypadkowym wyborem. Każda odpowiada na konkretną słabość poprzednich architektur C2 — i razem tworzą system gdzie zamknięcie dowolnych trzech jest bezużyteczne jeśli czwarty działa.
Co CrowdStrike musiało zrobić przez osiem miesięcy
Glassworm po raz pierwszy pojawił się w październiku 2025 roku gdy badacze z Koi Security zidentyfikowali samoreplicujący się robak rozprzestrzeniający się przez rozszerzenia VS Code na platformie Open VSX. TeamPCP
Od odkrycia w październiku 2025 do takedownu 26 maja 2026 minęło osiem miesięcy. W tym czasie CrowdStrike nie tylko obserwowało — budowało zdolność uderzenia w każdy z czterech kanałów jednocześnie.
Dla Solana: mapowanie portfeli używanych do komunikacji, zrozumienie mechanizmu kodowania instrukcji, budowanie techniki zakłócania odczytu. To wymagało głębokiej analizy kodu GlasswormRAT — gdzie w instrukcjach bytecode szukał transakcji, jak dekodował adresy, czy miał mechanizmy fallback.
Dla BitTorrent DHT: identyfikacja kluczy publicznych używanych przez botnet, zrozumienie jak zapytania DHT były konstruowane, przygotowanie odpowiedzi sinkholowych które kierowałyby zainfekowane maszyny na kontrolowany adres zamiast na serwery operatorów. Shadowserver musiał rozmieścić węzły odpowiadające na te zapytania z wystarczającym pokryciem żeby zdominować sieć.
Dla Google Calendar: identyfikacja kont kalendarzy używanych jako dead drop. To wymagało współpracy z Google Threat Intelligence Group — tego samego zespołu który opisywaliśmy przy pierwszym AI zero-dayu. GTIG musiał monitorować te konta, identyfikować wzorce aktualizacji, przygotować mechanizm jednoczesnego usunięcia.
Dla VPS: tradycyjne procedury prawne — nakazy do hostingodawców, koordynacja z organami ścigania w jurysdykcjach gdzie serwery były zarejestrowane.
Każda z tych ścieżek wymagała osobnych kompetencji, osobnych partnerów i osobnych procesów prawnych. Zsynchronizowanie ich wszystkich na jeden moment wymagało miesięcy koordynacji.
Skala której nikt nie podał wprost
Wszystkie zainfekowane maszyny Glassworm teraz odpytują kontrolowany przez CrowdStrike adres sinkhole 164.92.88.210. OX Security
To jest jedna z najważniejszych informacji w całej historii — i pojawiła się tylko w The Register.
Sinkhole to technika gdzie adres C2 jest przekierowany na serwer kontrolowany przez obrońców zamiast na serwer atakującego. Zainfekowane maszyny nadal próbują się połączyć — ale trafiają do CrowdStrike zamiast do operatorów. CrowdStrike widzi każde połączenie. Wie ile jest zainfekowanych maszyn. Wie gdzie są. Wie kiedy ostatnio próbowały się połączyć.
Liczba ta nie jest publiczna. CrowdStrike jej nie podało. Ale sama technika sinkholowania oznacza że ta liczba jest znana — i że CrowdStrike może teraz powiadamiać organizacje których maszyny nadal wysyłają sygnał na 164.92.88.210.
Jeśli twoja organizacja widzi w logach sieciowych połączenia do 164.92.88.210 — masz Glassworm na jednej z maszyn. Takedown zamknął kanały C2. Nie wyczyścił zainfekowanych maszyn.
Samoreplikacja jako mnożnik skali
Ponad 300 repozytoriów GitHub zostało zatrutych przy użyciu skradzionych poświadczeń deweloperów zebranych z wcześniejszych infekcji Glassworm, ze złośliwym kodem force-pushowanym do domyślnych gałęzi. Netcrook
To jest opis samoreplikacji — mechanizmu który sprawia że jeden zainfekowany deweloper staje się punktem dystrybucji dla kolejnych infekcji.
Sekwencja: deweloper instaluje złośliwe rozszerzenie VS Code → GlasswormRAT kradnie jego tokeny GitHub → te tokeny są używane do zatruwania repozytoriów do których deweloper ma dostęp → każdy kto klonuje te repozytoria i uruchamia kod instaluje Glassworm → jego tokeny są kradzione.
Złośliwe rozszerzenia celowały nie tylko w VS Code ale też w Cursor, Positron, Windsurf, VSCodium i inne. To jest celowe pokrycie całego ekosystemu edytorów opartych na VS Code — jedną złośliwą wersją rozszerzenia na OpenVSX można zainfekować użytkowników każdego z tych edytorów jednocześnie. Netcrook
Dlaczego rosyjski aktor celuje w deweloperów
Atrybucja do Rosji jest oznaczona przez CrowdStrike jako "prawdopodobna" — co w language intelligence oznacza wysoki poziom pewności ale bez publicznego ujawnienia wszystkich dowodów. Złośliwe oprogramowanie sprawdzało locale CIS-owych krajów i zawierało komentarze w kodzie po rosyjsku. Developer Tech News
Ale dlaczego deweloperzy?
Adversaries are no longer just targeting products — they're targeting the developers who build them. Deweloperzy mają dostęp do repozytoriów kodu źródłowego, platform chmurowych, potoków CI/CD i rejestrów pakietów. Cryptika
Kompromitacja jednego dewelopera to dostęp do:
- Kodu który buduje (prywatne repozytoria, algorytmy, klucze)
- Infrastruktury którą zarządza (AWS, Azure, GCP, Kubernetes)
- Narzędzi których używa (npm, PyPI — możliwość zatruwania)
- Organizacji dla której pracuje (przez skradzione tokeny i certyfikaty)
- Deweloperów z którymi współpracuje (przez zatrutą historię commitów i pull requesty)
Jeden zainfekowany deweloper to trójkąt Bermudów dla bezpieczeństwa organizacji. Opisywaliśmy dokładnie ten mechanizm przy breachach TeamPCP — jeden skompromitowany maintainer otwiera drzwi do milionów pobrań. Glassworm stosował tę samą logikę w sposób systematyczny przez osiem miesięcy.
Co się dzieje teraz
Takedown zamknął cztery kanały komunikacji. Nie zmienił kilku rzeczy które Glassworm osiągnął przez osiem miesięcy.
Ponad 300 zatrutych repozytoriów GitHub. Część jest już wyczyszczona. Część może nie być. Organizacje które clonowały te repozytoria między październikiem 2025 a majem 2026 powinny sprawdzić historię commitów pod kątem force-pushów do domyślnych gałęzi przez zewnętrznych kontrybutorów.
Skradzione poświadczenia deweloperów. Każdy token GitHub, klucz npm, poświadczenie AWS skradzione przez GlasswormRAT jest nadal ważny — chyba że został obrócony po infekcji. Operatorzy Glassworm mają dostęp do tych danych niezależnie od statusu botnet.
Zainfekowane maszyny. GlasswormRAT nadal jest na dyskach. Odpytuje sinkhole CrowdStrike zamiast operatorów. Ale jest. Nie wymaga nic żeby zmienić adres C2 — wystarczy aktualizacja konfiguracji która przyjdzie gdy operatorzy uruchomią nową infrastrukturę.
Jeden komentator na forum MalwareTips ujął to bez owijania w bawełnę: "This changes the situation. It does not end the campaign."
Prawdopodobny scenariusz następnych miesięcy
Operatorzy znają listę zainfekowanych maszyn — bo GlasswormRAT sam ją budował. Mogą uruchomić nową infrastrukturę C2 ze zmodyfikowanym mechanizmem rejestracji. Zainfekowane maszyny które nie zostały wyczyszczone będą próbowały się połączyć. Niektóre trafią na sinkhole. Te na których malware ma zaktualizowane konfiguracje — trafią do nowych operatorów.
Ile czasu zajmuje zbudowanie nowej czterowarstwowej infrastruktury C2? Dla grupy która zbudowała Glassworm — prawdopodobnie tygodnie, nie miesiące. Tym razem z pięcioma kanałami zamiast czterech. Lub z innymi kanałami — może IPFS zamiast BitTorrent, może Ethereum zamiast Solana.
Opisywaliśmy przy analizie TeamPCP że gdy DMT przekazał kontrolę T00001B — kampania trwała dalej. Glassworm Takedown zamknął infrastrukturę. Nie zamknął grupy, wiedzy ani danych które zebrała przez osiem miesięcy.
Jak sprawdzić czy twoja organizacja jest dotknięta
Jeden konkretny sygnał do sprawdzenia natychmiast: połączenia wychodzące do 164.92.88.210 w logach sieciowych lub telemetrii endpointów. To jest adres sinkhole CrowdStrike — każde połączenie do tego adresu oznacza zainfekowaną maszynę.
Dla deweloperów którzy używali VS Code, Cursor, Positron, Windsurf lub VSCodium między październikiem 2025 a majem 2026: audyt zainstalowanych rozszerzeń pod kątem rozszerzeń z OpenVSX marketplace których nie rozpoznajesz lub które mają podejrzaną historię aktualizacji.
Dla administratorów GitHub: przegląd historii commitów w repozytoriach pod kątem force-pushów do domyślnych gałęzi — szczególnie od kont których nie rozpoznajesz lub które były nieaktywne przez długi czas.
Podsumowanie
Glassworm Takedown to jeden z najbardziej skomplikowanych operacyjnie takedownów botnetu w historii cyberbezpieczeństwa — nie przez skalę zakażeń, ale przez architekturę C2 która wymagała jednoczesnego uderzenia w cztery kanały oparte na technologiach bez centralnego punktu kontroli.
Osiem miesięcy przygotowań. Jedna sekunda wykonania. Trzech partnerów, cztery kanały, pełna synchronizacja.
Ale zamknięcie kanałów komunikacji to nie to samo co zamknięcie kampanii. Zainfekowane maszyny nadal wysyłają sygnał. Skradzione poświadczenia nadal są ważne. Operatorzy nadal mają dane zebrane przez osiem miesięcy systematycznej kompromitacji deweloperów.
Glassworm był prawdopodobnie jedną iteracją. CrowdStrike wie to — dlatego Alessandro Guggino napisał "We need more operations and coordinated disruptions like this one" a nie "we solved the problem."
Następna wersja jest prawdopodobnie już w budowie.
Źródła
CrowdStrike — pełny blog techniczny z architekturą C2 i szczegółami operacji: https://www.crowdstrike.com/en-us/blog/inside-crowdstrike-takedown-of-a-developer-targeting-botnet/
The Register — adres sinkhole 164.92.88.210 i techniczne szczegóły: https://www.theregister.com/cyber-crime/2026/05/27/crowdstrike-google-shatter-glassworm-botnet/5247337
Security Affairs — GlasswormRAT, Unicode steganografia i atrybucja rosyjska: https://securityaffairs.com/192749/cyber-crime/how-cybersecurity-firms-took-down-glassworm-botnet-in-one-shot.html
BleepingComputer — szczegóły Solana blockchain i BitTorrent DHT: https://www.bleepingcomputer.com/news/security/glassworm-botnet-disrupted-after-resilient-c2-infrastructure-takedown/
Cybernews — historia od pierwszego wykrycia przez Koi Security w październiku 2025: https://cybernews.com/security/crowdstrike-google-smash-glassworm-developer-botnet/
Cybersecurity Dive — kontekst operacji i rola Shadowserver: https://www.cybersecuritydive.com/news/takedown-glassworm-botnet-crowdstrike-Google-Shadowserver/821227/
TechRadar — szczegóły Google Calendar jako C2: https://www.techradar.com/pro/security/adversaries-are-no-longer-just-targeting-products-theyre-targeting-the-developers-who-build-them-crowdstrike-takes-down-major-botnet-targeting-developers-across-the-world
Nie nowy atak, tylko naprawiony błąd. Co łatka Gemini CLI mówi o tym, że tryb –yolo w potoku CI/CD to nie jest dobry pomysł