Ragnatela RAT
Ragnatela RAT es un nuevo troyano de acceso remoto con capacidades avanzadas. Después de analizar la amenaza, los investigadores de infosec determinaron que se trata de una nueva variante basada en el anteriormente conocido BADNEWS RAT. Ragnatela está equipado con una amplia gama de capacidades intrusivas que permiten a los atacantes ejecutar esquemas de ciberespionaje o escalar el ataque para adaptarse a sus objetivos actuales. Como tal, la RAT puede establecer rutinas de registro de teclas y captura de pantalla, ejecutar comandos arbitrarios en el sistema, apuntar a archivos elegidos y transmitirlos a los atacantes, buscar e iniciar cargas útiles amenazantes adicionales y más.
Ragnatela y PatchWork
El Ragnatela RAT se atribuye y se observa como parte de las operaciones de ataque llevadas a cabo por el grupo PatchWork de APT establecido. La amenaza se ocultó y se desplegó a través de documentos RTF armados que actuaron como un señuelo para las víctimas objetivo al hacerse pasar por asociados con las autoridades paquistaníes.
Se cree que los piratas informáticos de PatchWork tienen vínculos con la India y, por lo general, están involucrados en operaciones de robo de datos y ciberespionaje. La comunidad de seguridad de la información también rastrea a este grupo bajo los nombres Dropping Elephant, Chinastrats o Quilted Tiger. Su campaña tuvo lugar entre noviembre y diciembre de 2021 y fue descubierta por los expertos en seguridad informática únicamente por Ragnatela RAT.
Los piratas informáticos no pudieron proteger sus propias computadoras.lo suficiente y se infectaron con la RATaccidentalmente. Este incidente refuerza el argumento de que las APT de Asia oriental están operando a un nivel menos sofisticado que sus contrapartes de Rusia o Corea del Norte.
Víctimas y Ataques Pasados
Durante la operación Ragnatela, PatchWork pudo comprometer varios objetivos de alto perfil. Infectó al Ministerio de Defensa de Pakistán, así como a varios profesores de diferentes universidades que trabajan en los campos de la medicina molecular y la ciencia biológica. Las víctimas eran de la Universidad UVAS, la Universidad SHU, el Instituto de Investigación Karachi HEJ y la Universidad de Defensa Nacional de Islam Abad.
En el pasado, PatchWork se ha dirigido a entidades de todo el mundo. En marzo de 2018, el grupo realizó múltiples campañas de phishing dirigido contra varios grupos de expertos estadounidenses, mientras que en 2016 persiguieron a empleados de una organización gubernamental europea. Nuevamente en 2018, PatchWork empleó documentos corruptos que llevaban BADNEWS RAT contra múltiples objetivos en el sur de Asia.
