RATA talismán

Talisman es un RAT (troyano de acceso remoto) potente que se ha visto como parte del arsenal amenazante de lo que se cree que son grupos de ciberespionaje respaldados por China. La amenaza se creó utilizando el código fuente del infame malware PlugX y está moldeado para adaptarse a las necesidades particulares de los atacantes. Funciona siguiendo un flujo de ejecución similar que implica abusar de un binario firmado e inofensivo, que se ve obligado a cargar un archivo DLL modificado con saña para ejecutarlo como shellcode. A su vez, la shellcode procederá a descifrar el malware. Una vez establecido en los dispositivos violados, Talisman proporcionará acceso de puerta trasera.

Talisman también conserva las capacidades de complemento que se esperan de una variante de PlugX. Algunos de los complementos que los ciberdelincuentes consideran esenciales están integrados en la amenaza de forma predeterminada. Algunos de los complementos identificados fueron revelados en un informe de la agencia CISA de EE. UU. e incluyen Disk, Nethood, Netstat, Option, PortMap, RegEdit, Service, Shell, SQL y Telnet. Las funciones de cada complemento coinciden con su nombre.

Hasta ahora, Talisman se ha observado como parte de varias campañas de ataque. Los investigadores rastrearon una operación amenazante dirigida a entidades del sur de Asia que operan en los sectores de telecomunicaciones y defensa. El ataque ha sido atribuido a un grupo de ciberdelincuencia conocido como Nomad Panda o RedFoxtrot. Más recientemente, los investigadores de seguridad atraparon nuevamente a otro colectivo de piratas informáticos alineado con China dirigido a objetivos del sector de las telecomunicaciones, pero esta vez ubicado en Asia Central. Esta campaña en particular se ha atribuido a un actor de amenazas rastreado como 'Moshen Dragon'. Cabe señalar que se ha establecido cierta superposición entre las TTP (Tácticas, técnicas y procedimientos) de Moshen Dragon y RedFoxtrot.