Rootkit para reptiles

Se ha observado que los actores de amenazas emplean un rootkit de código abierto llamado Reptile para atacar los sistemas Linux en Corea del Sur. A diferencia del malware rootkit convencional que se enfoca principalmente en ocultar actividades, Reptile da un paso más al ofrecer una funcionalidad de shell inverso. Esto permite a los actores malintencionados obtener control directo sobre los sistemas comprometidos, lo que amplía su capacidad para manipularlos y explotarlos.

En este contexto, el malware emplea una técnica llamada 'port knocking'. Esto implica que el rootkit abra un puerto específico en un sistema infectado y espere en modo de espera. Al recibir una señal específica o un "paquete mágico" de los actores de amenazas, se puede establecer una conexión entre el sistema comprometido y el servidor de comando y control (C2, C&C) de la operación de ataque. Un rootkit es una forma de software amenazante diseñado deliberadamente para brindar acceso elevado a nivel de raíz a una máquina y, al mismo tiempo, ofuscar su presencia. En particular, Reptile se ha utilizado en al menos cuatro campañas distintas desde el año 2022.

Varias campañas dañinas ya han empleado el rootkit de reptiles

En mayo de 2022, los investigadores documentaron la primera instancia del despliegue del rootkit Reptile, atribuido a un conjunto de intrusión llamado Earth Berberoka, también conocido como GamblingPuppet. Durante este descubrimiento, se reveló que el rootkit se utilizaba para encubrir conexiones y procesos vinculados a un troyano Python multiplataforma, conocido como Pupy RAT . Estos ataques estaban dirigidos principalmente a sitios web de apuestas ubicados en China.

En marzo de 2023, un presunto actor de amenazas conocido como UNC3886 orquestó una serie de ataques, supuestamente vinculado a China. Estos ataques aprovecharon las vulnerabilidades de día cero para distribuir una serie de implantes personalizados, junto con el rootkit Reptile.

En el mismo mes, el uso de un malware basado en Linux llamado Mélofée , derivado de Reptile, se atribuyó a un grupo de piratas informáticos chino. Luego, en junio de 2023, una campaña de cryptojacking infectó dispositivos con una puerta trasera de script de shell para entregar Reptile Rootkit, ocultando efectivamente sus procesos secundarios, archivos y su contenido como parte de sus operaciones.

Reptile Rootkit está equipado con un conjunto avanzado de capacidades amenazantes

Tras un análisis más detallado de Reptile, surge un mecanismo distintivo: un componente de carga que funciona junto con una herramienta denominada kmatryoshka. Este cargador es responsable de descifrar y cargar el módulo del kernel del rootkit en la memoria del sistema. Posteriormente, el cargador inicia la apertura de un puerto designado, entrando en un estado de preparación para que un atacante envíe una señal especial, conocida como paquete mágico, al host utilizando protocolos de comunicación como TCP, UDP o ICMP.

Los datos encapsulados dentro del paquete mágico contienen información crítica: la dirección del servidor C2. Utilizando esta información, se establece un shell inverso que se conecta al servidor C&C. Esta técnica de desencadenar actividades maliciosas a través de paquetes mágicos se ha observado anteriormente en otro rootkit llamado Syslogk. En la misma línea, en Corea del Sur se detectó un escenario de ataque similar que involucraba al rootkit Reptile. El ataque mostró varias similitudes tácticas con Mélofée.

En resumen, Reptile funciona como un malware rootkit en modo kernel de Linux con la función principal de ocultar archivos, directorios, procesos y comunicaciones de red. Sin embargo, también presenta una capacidad distintiva: la provisión de un caparazón inverso. Este rasgo adicional hace que los sistemas que albergan Reptile Rootkit sean potencialmente vulnerables al secuestro por parte de los actores de amenazas.