Troià GodRAT

Els ciberdelinqüents tornen a atacar les organitzacions financeres, amb empreses de corretatge i comercialització en el punt de mira d'una campanya que llança un troià d'accés remot (RAT) prèviament desconegut anomenat GodRAT. L'atac es propaga a través d'arxius .SCR maliciosos disfressats de documents financers, compartits a través de Skype Messenger.

Càrregues útils ocultes mitjançant esteganografia

Investigacions recents mostren que els atacants utilitzen esteganografia per ocultar codi shell dins dels fitxers d'imatge. Aquestes instruccions ocultes activen la descàrrega de GodRAT des d'un servidor de comandament i control (C2). L'evidència suggereix que la campanya ha estat en curs des del 9 de setembre de 2024, amb activitat registrada fins al 12 d'agost de 2025. Les regions afectades inclouen Hong Kong, els Emirats Àrabs Units, el Líban, Malàisia i Jordània.

De Gh0st RAT a GodRAT

GodRAT es considera una evolució moderna de Gh0st RAT, un troià el codi font del qual es va filtrar el 2008 i que des de llavors ha estat adoptat àmpliament pels grups d'amenaces xinesos. També s'han trobat similituds amb AwesomePuppet, un altre derivat de Gh0st RAT exposat el 2023 i atribuït al prolífic grup Winnti (APT41).

El programari maliciós està dissenyat amb una estructura basada en complements, que li permet recopilar informació sensible i implementar càrregues útils addicionals com ara AsyncRAT.

Cadena d’infecció i avaria tècnica

L'atac comença amb fitxers .SCR que actuen com a executables autoextraïbles. Aquests fitxers contenen diversos components incrustats, inclosa una DLL maliciosa carregada lateralment a través d'un executable legítim. Aquesta DLL recupera codi shell amagat en una imatge .JPG, que en última instància permet el desplegament de GodRAT.

Un cop actiu, el troià es connecta al seu servidor C2 mitjançant TCP, recopilant dades del sistema i detalls sobre les eines antivirus instal·lades. Després de transmetre aquesta informació, el servidor C2 emet ordres. Aquestes instruccions permeten al programari maliciós:

• Injecta una DLL del complement rebuda a la memòria.
• Finalitza el procés després de tancar el sòcol.
• Baixeu i executeu fitxers mitjançant l'API CreateProcessA.
• Obrir URL específiques mitjançant ordres d'Internet Explorer

Ampliació de capacitats amb complements

Un complement destacat, FileManager DLL, atorga als atacants un ampli control sobre el sistema de la víctima. Permet la cerca, la manipulació i la navegació de carpetes d'arxius, alhora que serveix com a eina de distribució de programari maliciós secundari. Les càrregues útils confirmades inclouen:

• Un lladre de contrasenyes dirigit als navegadors Chrome i Edge
• El troià AsyncRAT per a una major explotació

Opcions de càrrega útil i constructor de GodRAT

Els investigadors van descobrir el constructor GodRAT i el codi font complet del client, revelant la seva adaptabilitat. El constructor permet als atacants generar executables o DLL. Si es tria la ruta executable, els usuaris poden seleccionar binaris legítims per a la injecció de codi, com ara svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe i QQScLauncher.exe.

Les càrregues útils resultants es poden desar en diversos formats, com ara .exe, .com, .bat, .scr i .pif.

Codi antic, amenaça moderna

El descobriment de GodRAT posa de manifest com els implants antics com Gh0st RAT, introduïts per primera vegada fa gairebé dues dècades, encara representen riscos importants avui dia. L'adaptació i la reutilització constants permeten als atacants mantenir aquestes eines rellevants, garantint la seva supervivència a llarg termini en el panorama de la ciberseguretat. GodRAT serveix com a recordatori que fins i tot les bases de codi de programari maliciós antigues continuen sent armes poderoses quan es posen a les mans d'adversaris hàbils.