Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Herramientas de administración remota Malware EtherRAT

Malware EtherRAT

Por Mezo en Herramientas de administración remota, Amenaza persistente avanzada (APT)
Traducir a:

Se cree que una campaña de amenazas recientemente descubierta, vinculada a operadores norcoreanos, está explotando la vulnerabilidad crítica de React2Shell (RSC) para implementar un troyano de acceso remoto desconocido, conocido como EtherRAT. Este malware destaca por incorporar contratos inteligentes de Ethereum en su flujo de trabajo de Comando y Control (C2), instalar múltiples capas de persistencia en Linux e integrar su propio entorno de ejecución de Node.js durante la implementación.

Enlaces a las operaciones en curso de 'Entrevista Contagiosa'

Los equipos de seguridad han identificado fuertes similitudes entre la actividad de EtherRAT y la campaña de larga duración conocida como Contagious Interview, una serie de ataques que ha estado activa desde principios de 2025 y utiliza la técnica EtherHiding para la distribución de malware.

Estas operaciones suelen dirigirse a desarrolladores de blockchain y Web3, enmascarando intenciones maliciosas tras entrevistas de trabajo, pruebas de programación y evaluaciones en vídeo falsas. Las víctimas suelen ser contactadas a través de plataformas como LinkedIn, Upwork y Fiverr, donde los atacantes se hacen pasar por reclutadores legítimos que ofrecen oportunidades de empleo de alto valor.

Los investigadores señalan que este grupo de amenazas se ha convertido en una de las fuerzas maliciosas más productivas dentro del ecosistema npm, demostrando su habilidad para infiltrarse en cadenas de suministro basadas en JavaScript y flujos de trabajo centrados en criptografía.

La brecha inicial: Explotación de React2Shell

La secuencia de ataque comienza con la explotación de CVE‑2025‑55182, una vulnerabilidad crítica de RSC con una puntuación de gravedad perfecta de 10. Utilizando esta falla, los atacantes ejecutan un comando codificado en Base64 que descarga y activa un script de shell responsable de iniciar el implante de JavaScript primario.

El script se obtiene mediante curl, con wget y python3 como métodos de respaldo. Antes de iniciar la carga útil principal, prepara el sistema adquiriendo Node.js v20.10.0 directamente desde nodejs.org. A continuación, escribe en el disco un blob de datos cifrados y un dropper de JavaScript oculto. Para limitar los rastros forenses, el script se limpia a sí mismo una vez completada la configuración y cede el control al dropper.

Entrega de EtherRAT: cifrado, ejecución y contrato inteligente C2

La función principal del cuentagotas es sencilla: descifrar la carga útil de EtherRAT usando una clave codificada y ejecutarlo con el binario Node.js recién descargado.

La característica destacada de EtherRAT es su dependencia de EtherHiding, un método que recupera la dirección del servidor C2 de un contrato inteligente de Ethereum cada cinco minutos. Esto permite a los operadores actualizar la infraestructura sobre la marcha, incluso si los defensores interrumpen los dominios existentes.

Una característica única de esta implementación es su sistema de votación por consenso. EtherRAT consulta simultáneamente nueve puntos finales públicos de RPC de Ethereum, recopila los resultados y confía en la URL C2 devuelta por la mayoría. Este enfoque neutraliza varias estrategias defensivas, garantizando que un punto final de RPC comprometido o manipulado no pueda engañar ni colapsar la botnet.

Los investigadores detectaron previamente una técnica similar en los paquetes npm maliciosos colortoolsv2 y mimelib2, que se utilizaban para distribuir componentes de descarga a los desarrolladores.

Sondeo de comandos de alta frecuencia y persistencia multicapa

Tras establecer comunicación con su servidor C2, EtherRAT inicia un ciclo de sondeo rápido cada 500 milisegundos. Cualquier respuesta que supere los diez caracteres se interpreta como JavaScript y se ejecuta instantáneamente en el sistema comprometido.

El acceso a largo plazo se mantiene a través de cinco técnicas de persistencia, lo que aumenta la confiabilidad en varios procesos de inicio de Linux:

Métodos de persistencia:

  • Servicio de usuario de Systemd
  • Entrada de inicio automático de XDG
  • Trabajos cron
  • modificación de .bashrc
  • Inyección de perfil

Al propagarse a través de múltiples rutas de ejecución, el malware continúa ejecutándose incluso después de los reinicios, lo que garantiza un acceso ininterrumpido para los operadores.

Capacidades de autoactualización y estrategia de ofuscación

EtherRAT incluye un sofisticado proceso de actualización: envía su propio código fuente a un punto final de la API, recibe una versión modificada del servidor C2 y se reinicia con esta nueva variante. Aunque la actualización es funcionalmente idéntica, la carga útil devuelta se ofusca de forma diferente, lo que ayuda al implante a evadir las técnicas de detección estática.

El código se superpone con familias de amenazas de JavaScript anteriores

Análisis posteriores revelan que partes del cargador cifrado de EtherRAT comparten patrones con BeaverTail, un conocido descargador basado en JavaScript y ladrón de información utilizado en operaciones de Entrevista Contagiosa. Esto refuerza la hipótesis de que EtherRAT es un sucesor directo o una extensión de las herramientas utilizadas en esa campaña.

Implicaciones para los defensores: un cambio hacia el sigilo y la persistencia

EtherRAT demuestra una evolución significativa en la explotación de React2Shell. En lugar de centrarse únicamente en actividades oportunistas como la criptominería o el robo de credenciales, este implante prioriza el acceso sigiloso a largo plazo. Su combinación de operaciones C2 basadas en contratos inteligentes, verificación de endpoints basada en consenso, múltiples capas de persistencia y autoofuscación continua supone un serio desafío para los defensores.

Conclusiones clave para los equipos de seguridad

Los equipos de seguridad deben tener en cuenta que EtherRAT representa una escalada significativa en la explotación de RSC, lo que lo convierte en una amenaza persistente y altamente adaptable, capaz de soportar intrusiones a largo plazo. Su infraestructura de comando y control es particularmente resistente, aprovechando los contratos inteligentes de Ethereum y un mecanismo de consenso multiendpoint para resistir intentos de sinkholing, desmantelamientos y manipulación de endpoints individuales. Además, la estrecha relación del malware con la campaña Contagious Interview destaca un enfoque continuo en objetivos de alto valor para desarrolladores, lo que enfatiza la necesidad de una mayor vigilancia dentro de las comunidades de desarrollo de blockchain y Web3.

Tendencias

Solicitud de cancelación de cuenta de correo web...

Suplantación de identidad (phishing), Correo basura
Los ciberdelincuentes siguen creando mensajes engañosos que imitan notificaciones rutinarias de servicio, y la estafa "Solicitud de cancelación de cuenta de correo web" es un claro ejemplo. Aunque estos correos electrónicos puedan parecer urgentes u oficiales, forman parte de una estrategia de phishing diseñada para recopilar información confidencial. No están vinculados a ninguna empresa,...

Mas Visto

Cargando...