Troyano GodRAT

Los ciberdelincuentes vuelven a atacar a las organizaciones financieras, con empresas de comercio y corretaje en el punto de mira de una campaña que distribuye un troyano de acceso remoto (RAT) previamente desconocido llamado GodRAT. El ataque se propaga mediante archivos .SCR maliciosos camuflados en documentos financieros, compartidos a través de Skype Messenger.

Cargas útiles ocultas mediante esteganografía

Investigaciones recientes muestran que los atacantes utilizan esteganografía para ocultar código shell en archivos de imagen. Estas instrucciones ocultas activan la descarga de GodRAT desde un servidor de Comando y Control (C2). La evidencia sugiere que la campaña lleva activa desde el 9 de septiembre de 2024, con actividad registrada tan reciente como el 12 de agosto de 2025. Las regiones afectadas incluyen Hong Kong, Emiratos Árabes Unidos, Líbano, Malasia y Jordania.

De Gh0st RAT a GodRAT

GodRAT se considera una evolución moderna de Gh0st RAT, un troyano cuyo código fuente se filtró en 2008 y que desde entonces ha sido ampliamente adoptado por grupos de amenazas chinos. También se han encontrado similitudes con AwesomePuppet, otro derivado de Gh0st RAT expuesto en 2023 y atribuido al prolífico grupo Winnti (APT41).

El malware está diseñado con una estructura basada en complementos, lo que le permite recopilar información confidencial e implementar cargas útiles adicionales como AsyncRAT.

Cadena de infección y avería técnica

El ataque comienza con archivos .SCR que actúan como ejecutables autoextraíbles. Estos archivos contienen múltiples componentes integrados, incluyendo una DLL maliciosa instalada a través de un ejecutable legítimo. Esta DLL recupera el shellcode oculto en una imagen .JPG, lo que finalmente permite la implementación de GodRAT.

Una vez activo, el troyano se conecta a su servidor C2 mediante TCP, recopilando datos del sistema y detalles sobre las herramientas antivirus instaladas. Tras transmitir esta información, el servidor C2 emite comandos. Estas instrucciones permiten al malware:

• Inyectar una DLL de complemento recibida en la memoria.
• Terminar su proceso después de cerrar el socket.
• Descargue y ejecute archivos utilizando la API CreateProcessA.
• Abrir URL específicas mediante comandos de Internet Explorer

Ampliación de capacidades con complementos

Un complemento destacado, FileManager DLL, otorga a los atacantes un amplio control sobre el sistema de la víctima. Permite la búsqueda, manipulación y exploración de archivos, además de servir como herramienta de distribución de malware secundario. Las cargas útiles confirmadas incluyen:

• Un ladrón de contraseñas que ataca a los navegadores Chrome y Edge
• El troyano AsyncRAT para una mayor explotación

Opciones de carga útil y constructor de GodRAT

Los investigadores descubrieron el compilador GodRAT y el código fuente completo del cliente, revelando su adaptabilidad. El compilador permite a los atacantes generar ejecutables o DLL. Si se elige la ruta del ejecutable, los usuarios pueden seleccionar binarios legítimos para la inyección de código, como svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe y QQScLauncher.exe.

Las cargas útiles resultantes se pueden guardar en varios formatos, incluidos .exe, .com, .bat, .scr y .pif.

Código heredado, amenaza moderna

El descubrimiento de GodRAT pone de relieve cómo los implantes heredados como Gh0st RAT, introducidos por primera vez hace casi dos décadas, siguen planteando importantes riesgos en la actualidad. La adaptación y la readaptación constantes permiten a los atacantes mantener la relevancia de estas herramientas, garantizando su supervivencia a largo plazo en el panorama de la ciberseguridad. GodRAT sirve como recordatorio de que incluso las bases de código de malware antiguas siguen siendo armas poderosas cuando caen en manos de adversarios expertos.