Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso RTX RAT

RTX RAT

Por Mezo en Software malicioso, Herramientas de administración remota
Traducir a:

Un incidente de seguridad relacionado con CPUID expuso a los usuarios a software malicioso a través de su sitio web oficial, cpuid.com. Durante menos de 24 horas, los ciberdelincuentes manipularon con éxito los enlaces de descarga para distribuir versiones infectadas de herramientas de monitorización de hardware muy utilizadas.

La vulnerabilidad se produjo entre el 9 de abril a las 15:00 UTC y el 10 de abril a las 10:00 UTC, periodo durante el cual los enlaces legítimos de instalación fueron reemplazados intermitentemente por redirecciones maliciosas. Es importante destacar que CPUID confirmó que sus binarios originales firmados permanecieron intactos, ya que la brecha se originó en una función secundaria, esencialmente una API lateral, que provocó que el sitio web mostrara enlaces dañinos de forma aleatoria en lugar de alterar el software principal en sí.

Infraestructura maliciosa: dominios fraudulentos detrás del ataque.

Las investigaciones realizadas por expertos en ciberseguridad identificaron varios dominios utilizados para alojar y distribuir los troyanos. Estos sitios web maliciosos desempeñaron un papel fundamental al redirigir a usuarios desprevenidos a descargas comprometidas.

  • cahayailmukreatif.web[.]id
  • pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
  • transitopalermo[.]com
  • Vatrobran[.]hr

Estos dominios formaban parte de una infraestructura más amplia diseñada para dar soporte a la distribución de malware y a las operaciones de mando y control.

Mecanismo de entrega sigiloso: Abuso de la carga lateral de DLL

Los atacantes emplearon una técnica de evasión bien conocida llamada carga lateral de DLL. Los paquetes maliciosos se distribuyeron tanto como archivos ZIP como instaladores independientes, cada uno con dos componentes: un ejecutable legítimo y firmado y una biblioteca de vínculos dinámicos maliciosa llamada 'CRYPTBASE.dll'.

Aprovechando la confianza depositada en los binarios firmados, la DLL maliciosa se cargó durante la ejecución, lo que permitió una intrusión encubierta. Antes de iniciar otras acciones, el malware realizó comprobaciones anti-sandbox para evitar ser detectado en entornos de análisis. Una vez superadas estas comprobaciones, se conectó a un servidor externo para obtener cargas útiles adicionales.

Despliegue de STX RAT: una herramienta versátil para la post-explotación.

El objetivo final de la campaña era desplegar el troyano STX RAT, un potente troyano de acceso remoto equipado con capacidades ocultas de computación en red virtual (HVNC) y una amplia funcionalidad de robo de datos.

Este malware permite a los atacantes mantener un control persistente sobre los sistemas infectados y ejecutar una amplia gama de actividades posteriores a la explotación, entre las que se incluyen:

  • Ejecución en memoria de archivos EXE, DLL, scripts de PowerShell y shellcode.
  • Proxy inverso y tunelización de red
  • Interacción y vigilancia remota de escritorios

Estas capacidades hacen que STX RAT sea particularmente peligroso tanto en entornos individuales como empresariales.

Superposición de campañas: Vínculos con ataques anteriores de FileZilla

El análisis reveló que la infraestructura de comando y control (C2) utilizada en este incidente había estado previamente asociada con una campaña independiente que involucraba instaladores troyanizados de FileZilla. La reutilización de las mismas configuraciones de servidor y dominios de comunicación indica claramente una superposición operativa entre ambas campañas.

Esta repetición de tácticas, técnicas e infraestructura proporcionó indicadores valiosos para la detección y la atribución.

Operación a largo plazo: Cronograma de una campaña de 10 meses

Investigaciones posteriores sugieren que la brecha de seguridad de CPUID forma parte de una campaña más amplia que comenzó en julio de 2025. La primera muestra de malware conocida, identificada como 'superbad.exe', se observó comunicándose con un servidor de comando y control en la dirección IP 95.216.51.236.

Los expertos en seguridad consideran que el responsable de la amenaza probablemente habla ruso y puede estar motivado por intereses económicos o funcionar como intermediario de acceso inicial, una entidad que se especializa en obtener acceso a sistemas y vender ese acceso a otros ciberdelincuentes.

Evaluación de impacto: Alcance global con víctimas diversas

El ataque ha afectado a más de 150 víctimas confirmadas, principalmente usuarios individuales. Sin embargo, organizaciones de diversos sectores también se han visto afectadas, incluyendo comercio minorista, manufactura, consultoría, telecomunicaciones y agricultura.

Geográficamente, la mayoría de las infecciones se han identificado en Brasil, Rusia y China, lo que indica una estrategia de focalización amplia y oportunista.

Debilidades operativas: errores que llevaron a su detección.

A pesar de la magnitud de la campaña, varios fallos de seguridad operativa mermaron significativamente la eficacia de los atacantes. La reutilización de cadenas de infección idénticas, cargas útiles STX RAT y dominios de comando y control de campañas anteriores facilitó el seguimiento y la correlación de la actividad.

Estas deficiencias sugieren una sofisticación relativamente baja en las prácticas de desarrollo e implementación de malware. Como resultado, los defensores pudieron detectar el ataque de punto de acceso rápidamente tras su inicio, lo que limitó su impacto general y el tiempo de exposición.


Tendencias

Estafa por correo electrónico que requiere...

Suplantación de identidad (phishing), Correo basura
Mantener la cautela al recibir correos electrónicos inesperados es fundamental para la seguridad en línea. Los ciberdelincuentes suelen disfrazar mensajes maliciosos como comunicaciones legítimas para aprovecharse de la confianza y la urgencia. La estafa del correo electrónico "Se requiere verificación de seguridad" es un claro ejemplo de esta táctica. Estos correos electrónicos no están...

Mas Visto

Cargando...