Ataques de phishing de FatalRAT
Las organizaciones industriales de la región Asia-Pacífico (APAC) se han convertido en el foco de una sofisticada campaña de phishing destinada a distribuir la amenaza FatalRAT. La operación, meticulosamente orquestada por cibercriminales, se basa en servicios de nube chinos legítimos, como myqcloud y Youdao Cloud Notes, para facilitar su infraestructura de ataque. Los atacantes evaden eficazmente la detección y prolongan su intrusión mediante la implementación de un sistema de entrega de carga útil de varias etapas.
Tabla de contenido
Objetivos de alto valor en sectores críticos
La campaña se ha centrado en entidades gubernamentales y grandes industrias, como la manufactura, la construcción, la tecnología de la información, las telecomunicaciones, la atención sanitaria, la energía, la logística y el transporte. La lista de regiones afectadas abarca Taiwán, Malasia, China, Japón, Tailandia, Corea del Sur, Singapur, Filipinas, Vietnam y Hong Kong.
Señuelos específicos para cada idioma para un máximo impacto
El análisis de los archivos adjuntos de los mensajes de phishing indica que la campaña está dirigida principalmente a personas de habla china. Este enfoque sugiere un esfuerzo calculado para atacar organizaciones donde el mandarín es el idioma dominante, lo que garantiza una mayor probabilidad de éxito.
La evolución de los métodos de distribución de FatalRAT
FatalRAT se ha vinculado a varios métodos de distribución en el pasado. Las campañas anteriores aprovecharon anuncios falsos de Google para difundir la amenaza. En septiembre de 2023, los investigadores documentaron otra campaña de phishing que distribuía FatalRAT junto con otras amenazas como Gh0st RAT, Purple Fox y ValleyRAT .
Conexiones con el APT Silver Fox
Algunas de estas campañas se han atribuido a la APT Silver Fox, un actor de amenazas conocido por atacar a usuarios de habla china y organizaciones japonesas. Esta conexión pone aún más de relieve los posibles motivos geopolíticos detrás de estos ataques.
La cadena de ataque: desde el correo electrónico de phishing hasta el ataque total
El ataque comienza con un correo electrónico de phishing que contiene un archivo ZIP camuflado con un nombre de archivo en chino. Cuando se abre, este archivo lanza un cargador de primera etapa que se comunica con Youdao Cloud Notes para recuperar un archivo DLL y un configurador FatalRAT. El configurador, a su vez, accede a otra nota de Youdao Cloud para extraer datos de configuración y, al mismo tiempo, abre un archivo señuelo para minimizar las sospechas.
Aprovechar la carga lateral de DLL para lograr sigilo
Una característica fundamental de esta campaña es el uso de técnicas de carga lateral de DLL para avanzar en la secuencia de infección. El cargador de DLL de segunda etapa descarga e instala la carga útil FatalRAT desde un servidor remoto alojado en myqcloud.com mientras muestra un mensaje de error falso para engañar a los usuarios. La dependencia de binarios legítimos permite que la cadena de ataque se mezcle con la actividad normal del sistema, lo que complica los esfuerzos de detección.
Tácticas de evasión avanzadas en juego
FatalRAT está diseñado para reconocer máquinas virtuales y entornos sandbox, y realiza 17 comprobaciones diferentes antes de ejecutarse. Si alguna de las comprobaciones falla, el malware se apaga para evitar el análisis. Además, termina todas las instancias del proceso rundll32.exe y recopila información del sistema, incluidos detalles sobre las soluciones de seguridad instaladas, antes de conectarse a su servidor de Comando y Control (C2) para obtener más instrucciones.
Una herramienta versátil y amenazante
FatalRAT viene equipado con amplias capacidades que otorgan a los atacantes un control significativo sobre los dispositivos comprometidos. El troyano puede registrar pulsaciones de teclas, manipular el registro de arranque maestro (MBR), controlar funciones de pantalla, eliminar datos del navegador de Google Chrome e Internet Explorer, instalar herramientas de acceso remoto como AnyDesk y UltraViewer, ejecutar operaciones de archivos, habilitar conexiones proxy y finalizar procesos arbitrarios.
Identificando al actor de la amenaza detrás de FatalRAT
Si bien los autores exactos siguen sin identificarse, las similitudes tácticas entre las distintas campañas sugieren que estos ataques comparten un origen común. Los investigadores creen, con un nivel de confianza medio, que un actor de amenazas de habla china es el responsable. El uso constante de servicios e interfaces en idioma chino a lo largo del ciclo de ataque respalda aún más esta teoría.
El panorama más amplio: una herramienta para el espionaje cibernético a largo plazo
La amplia funcionalidad de FatalRAT ofrece a los cibercriminales infinitas oportunidades de infiltración a largo plazo. La capacidad de propagarse por redes, instalar herramientas adicionales, manipular sistemas y extraer datos confidenciales lo convierte en un arma formidable en manos de atacantes persistentes. La superposición con ataques anteriores y el uso recurrente de recursos en idioma chino sugieren una campaña bien organizada destinada al espionaje y al robo de datos.
