Fideos RATA
Un nuevo malware multiplataforma llamado Noodle RAT, previamente desconocido para los expertos en seguridad, ha sido utilizado por actores de amenazas de habla china con fines de espionaje y delitos cibernéticos en los últimos años. Inicialmente se pensó que era una variante de Gh0st RAT y Rekoobe, pero los investigadores ahora confirman que Noodle RAT no es solo una modificación del malware existente, sino una amenaza completamente nueva. Opera bajo alias como ANGRYREBEL y Nood RAT y es compatible con sistemas Windows y Linux. Se sospecha que esta cepa de malware ha estado activa desde al menos julio de 2016.
Tabla de contenido
Los atacantes implementan las variantes de Noodle RAT basadas en los sistemas de las víctimas
La edición para Windows de Noodle RAT, una puerta trasera modular que funciona en memoria, ha sido utilizada por grupos de hackers como Iron Tiger y Calypso. Se activa a través de un cargador debido a su estructura basada en shellcode. Este malware es capaz de ejecutar varios comandos, como descargar/cargar archivos, ejecutar otras cepas de malware, actuar como un proxy TCP y autoeliminarse. Se han identificado dos tipos distintos de cargadores, a saber, MULTIDROP y MICROLOAD, en ataques dirigidos a Tailandia e India, respectivamente.
Por otro lado, la versión Linux de Noodle RAT ha sido empleada por varios grupos de cibercrimen y espionaje asociados con China, como Rocke y Cloud Snooper. Esta variante es capaz de iniciar un shell inverso, administrar transferencias de archivos, programar tareas y configurar un túnel SOCKS. Estos ataques aprovechan vulnerabilidades conocidas en aplicaciones de acceso público para infiltrarse en servidores Linux, implementando un shell web para acceso remoto y entrega de malware.
Similitudes entre las versiones de Noodle RAT
A pesar de las diferencias en los comandos de puerta trasera, ambas versiones de Noodle RAT comparten un código de comunicación de Comando y Control (C2) idéntico y utilizan formatos de configuración similares. Un examen más detenido de los artefactos de Noodle RAT revela que, si bien el malware incorpora varios complementos utilizados por Gh0st RAT y algunos segmentos de la versión de Linux comparten similitudes de código con Rekoobe, la puerta trasera en sí es completamente nueva.
Los investigadores también obtuvieron acceso a un panel de control y un constructor utilizados para la variante Linux de Noodle RAT. Las notas de la versión escritas en chino simplificado detallan correcciones de errores y mejoras, lo que sugiere que probablemente se haya desarrollado, mantenido y vendido a clientes específicos.
Esta evaluación se ve reforzada por filtraciones de principios de 2024, que arrojan luz sobre un importante ecosistema corporativo de piratería informática que opera desde China. Estas filtraciones subrayan las conexiones operativas y organizativas entre las entidades del sector privado y los ciberactores patrocinados por el Estado chino.
El Noodle RAT puede ser explotado por varios grupos de ciberdelincuentes chinos
Se cree que las herramientas amenazantes provienen de una sofisticada cadena de suministro dentro de la red de ciberespionaje de China, donde se venden y distribuyen comercialmente tanto al sector privado como a entidades gubernamentales involucradas en operaciones maliciosas patrocinadas por el Estado. Es probable que el Noodle RAT circule o se venda entre grupos de habla china. Después de todo, ha sido clasificado erróneamente y subestimado durante un período prolongado.
