MirageFox RAT

Ke3chang APT (Advanced Persistent Threat) es un infame grupo de piratería de China que ha sido noticia en todo el mundo. Los delincuentes cibernéticos detrás de Ke3chang APT también se conocen como APT15. Ke3chang APT tiene una lista sustancial de herramientas de piratería, y una de ellas es MirageFox RAT (Troyano de acceso remoto).

El MirageFox RAT generalmente se utiliza como carga útil de segunda etapa. La amenaza permite que el grupo Ke3chang lleve a cabo una variedad de tareas amenazantes en el host comprometido. El MirageFox RAT puede ser útil como una herramienta de reconocimiento a largo plazo, en particular. Esta herramienta de piratería puede desviar datos y archivos específicos del host infectado, así como aplicar cambios a la configuración de seguridad del sistema comprometido. Esta última es una característica muy útil que permitiría a los atacantes inyectar malware adicional en la PC objetivo.

Las copias de MirageFox RAT parecen tener una dirección IP codificada, que se utiliza para un servidor C&C (Command & Control). Además, dado que MirageFox RAT se usa como una carga útil secundaria, la amenaza se modifica en función de las propiedades del host objetivo; es evidente que los atacantes están implementando la amenaza manualmente. El MirageFox RAT no intenta ganar persistencia en la PC infectada, ya que los atacantes pueden lanzar la amenaza manualmente cuando lo deseen.

Es probable que el grupo de piratería Ke3chang sea una APT patrocinada por el estado, lo que significa que puede ser financiado directamente desde Beijing. Se sabe que esta APT apunta a entidades gubernamentales extranjeras, así como a grandes corporaciones que operan en industrias clave como energía, militar, aeroespacial, etc. También son conocidas por utilizar malware creado a medida junto con software legítimo para llevar a cabo sus operaciones.