El Equipo Global de Investigación y Análisis de Kaspersky (GReAT) ha identificado un nuevo troyano de acceso remoto (RAT) denominado GodRAT, distribuido mediante archivos de protector de pantalla maliciosos que se hacen pasar por documentos financieros enviados a través de Skype. Las principales víctimas detectadas pertenecen a pequeñas y medianas empresas en Emiratos Árabes Unidos y Hong Kong.

Cómo se detectó GodRAT

La campaña fue revelada cuando el código de un cliente infectado se subió a un escáner en línea en julio de 2024. Desde ese momento, los investigadores identificaron que el actor de amenaza utilizaba técnicas avanzadas para evadir la detección y garantizar la persistencia del malware en los sistemas comprometidos.

Técnicas de evasión y funcionamiento

Para evitar ser identificado, los atacantes emplearon esteganografía, ocultando shellcode en imágenes con apariencia de datos financieros. Este código oculto descarga el GodRAT desde un servidor de Comando y Control (C2).

El troyano establece conexión TCP con el servidor C2 a través del puerto configurado y recopila información clave del sistema infectado, como:

• Detalles del sistema operativo
• Nombre del equipo local
• Nombre e ID del proceso del malware
• Usuario asociado al proceso
• Software antivirus instalado
• Presencia de controladores de captura

Capacidades de GodRAT

GodRAT es compatible con plugins adicionales, lo que amplía significativamente su alcance. Los atacantes suelen usar el plugin FileManager para navegar por los sistemas comprometidos y herramientas especializadas en extraer contraseñas guardadas en navegadores como Google Chrome y Microsoft Edge.

Además, en paralelo a GodRAT, se identificó el uso de AsyncRAT como implante secundario, con el objetivo de mantener un acceso prolongado a las máquinas afectadas.

Vínculos con malware previo

Los expertos señalan que GodRAT podría ser una evolución de AwesomePuppet, identificado en 2023 y vinculado al grupo APT Winnti. Entre las similitudes detectadas destacan:

• Métodos de distribución similares
• Parámetros inusuales en línea de comandos
• Fragmentos de código en común con Gh0st RAT
• Una firma digital distintiva compartida

Un malware con raíces antiguas, pero vigente

Aunque Gh0st RAT tiene casi dos décadas de antigüedad, sus bases de código siguen siendo utilizadas y adaptadas por cibercriminales para atacar nuevas víctimas. El descubrimiento de GodRAT confirma cómo estas herramientas, a pesar del tiempo transcurrido, continúan siendo relevantes y peligrosas en el panorama actual de la ciberseguridad.