Malware kkRAT

Investigadores de seguridad informática han descubierto una campaña de malware activa dirigida a usuarios de habla china que utiliza un troyano de acceso remoto no documentado previamente, denominado kkRAT. La campaña parece estar activa desde principios de mayo de 2025 y combina técnicas conocidas de RAT con cargadores modulares y engaño para evadir la detección y lograr persistencia.

ORÍGENES DE LAS AMENAZAS Y ENLACES DE LÍNEA DE CÓDIGO

El análisis muestra que kkRAT se inspira considerablemente en familias establecidas: su protocolo de red y algunas estructuras de código se asemejan a los utilizados por Gh0st RAT (Ghost RAT) y Big Bad Wolf (大灰狼), una RAT históricamente utilizada por grupos cibercriminales con sede en China. Los autores aplicaron cifrado adicional a la compresión, creando un canal de comunicación similar al de Ghost con un paso de cifrado adicional.

MÉTODO DE ENTREGA: INSTALADORES FALSOS ALOJADOS EN PÁGINAS DE GITHUB

Los atacantes alojaban páginas de phishing en GitHub Pages que suplantaban la identidad de aplicaciones populares (por ejemplo, DingTalk) y distribuyeron tres troyanos mediante instaladores falsos. Al abusar de la reputación de GitHub, los operadores aumentaron la probabilidad de que las víctimas confiaran en los instaladores y los ejecutaran. Los expertos señalan que la cuenta de GitHub utilizada para alojar las páginas ya no está disponible.

COMPORTAMIENTO DEL INSTALADOR

Al ejecutarse, el instalador falso realiza múltiples comprobaciones para detectar entornos de pruebas y máquinas virtuales, e intenta eludir los controles de seguridad. Solicita privilegios de administrador; si se conceden, enumera y deshabilita temporalmente los adaptadores de red activos, una función que interfiere con las comprobaciones de red del antivirus e interrumpe su funcionamiento normal mientras realiza los cambios.

TÉCNICAS ANTI-AV

El malware utiliza la técnica Bring Your Own Vulnerable Driver (BYOVD) para neutralizar las protecciones de endpoints, reutilizando código del proyecto de código abierto RealBlindingEDR. Busca y ataca específicamente estas suites de protección para consumidores y empresas:

Suite de seguridad de Internet 360

Seguridad total 360

Paquete de diagnóstico del sistema HeroBravo

Seguridad de Internet Kingsoft

QQ电脑管家

Tras finalizar los procesos antivirus relevantes, el instalador crea una tarea programada con privilegios de SISTEMA que ejecuta un script por lotes con cada inicio de sesión, lo que garantiza que los procesos antivirus afectados se eliminen automáticamente en cada inicio de sesión. El malware también modifica las entradas del Registro de Windows, deshabilitando las comprobaciones de red, y vuelve a habilitar los adaptadores de red una vez completadas las modificaciones.

CADENA DE CARGA ÚTIL

La función principal del instalador es ejecutar el shellcode, que obtiene y ejecuta un archivo secundario ofuscado llamado "2025.bin" desde una URL predefinida. Este shellcode actúa como un descargador y recupera un artefacto llamado "output.log", que a su vez contacta con dos URL para descargar dos archivos ZIP:

• trx38.zip: contiene un ejecutable legítimo más una DLL maliciosa que se inicia a través de la instalación de DLL.
• p.zip — contiene un archivo llamado longlq.cl que contiene una carga final cifrada.

El malware crea un acceso directo al ejecutable legítimo de trx38.zip, lo coloca en la carpeta de inicio del usuario para su persistencia y ejecuta el ejecutable legítimo para transferir la DLL maliciosa. La DLL descifra y ejecuta la carga útil final contenida en longlq.cl. La carga útil final de la campaña varía según la instancia de la misma; una carga útil confirmada es kkRAT.

CAPACIDADES DE kkRAT (COMANDOS, COMPLEMENTOS Y COMPORTAMIENTO)

kkRAT se conecta a un servidor C2 a través de un socket, perfila el host infectado y descarga complementos y comandos que permiten un amplio control remoto y la recopilación de datos. Sus capacidades observadas incluyen:

• Captura de pantalla y simulación de la entrada del usuario (teclado y ratón)
• Leer y modificar el contenido del portapapeles (se utiliza para reemplazar direcciones de criptomonedas)
• Habilitar la funcionalidad de escritorio remoto e iniciar o cerrar aplicaciones de forma remota, incluidos navegadores.
• ejecución remota de comandos a través de un shell interactivo
• Administración de Windows en pantalla y listados/finalización de procesos
• enumeración de conexiones de red activas
• Listado de aplicaciones instaladas y desinstalación del software seleccionado
• Lectura de valores de registro de ejecución automática y enumeración de entradas de ejecución automática
• Actúa como un proxy SOCKS5 para enrutar el tráfico y potencialmente evitar firewalls o VPN.

• Instalar e implementar herramientas de administración remota como Sunlogin y GotoHTTP

• mecanismos de persistencia y un amplio conjunto de comandos para invocar complementos y funciones operativas

kkRAT también contiene una funcionalidad clipper que reemplaza direcciones de billeteras de criptomonedas copiadas y rutinas para borrar datos de una variedad de navegadores y aplicaciones de mensajería (ejemplos observados: 360 Speed Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer y Telegram).

RESUMEN — POR QUÉ ES IMPORTANTE LA CAMPAÑA DE ATAQUE

Esta campaña se distingue por combinar: distribución mediante ingeniería social a través de páginas de GitHub con apariencia legítima; técnicas avanzadas de antianálisis y anti-AV (detección de sandbox/VM, BYOVD con código RealBlindingEDR); un cargador multietapa que utiliza la instalación lateral de DLL y contenedores de carga útil cifrados; y un RAT completo (kkRAT) que permite tanto el robo de información (secuestro del portapapeles, captura de pantalla, exfiltración de datos) como herramientas operativas (herramientas de administración remota, proxy). La arquitectura modular permite intercambiar la carga útil final, lo que aumenta la flexibilidad para los operadores y dificulta la detección y la atribución.