RAT de fideus
Un nou programari maliciós multiplataforma anomenat Noodle RAT, abans desconegut pels experts en seguretat, ha estat utilitzat per actors d'amenaces de parla xinesa amb finalitats d'espionatge i ciberdelinqüència durant els últims anys. Inicialment es va pensar que era una variant del Gh0st RAT i Rekoobe, els investigadors ara confirmen que el Noodle RAT no és només una modificació del programari maliciós existent, sinó una amenaça completament nova. Funciona amb àlies com ANGRYREBEL i Nood RAT i és compatible amb sistemes Windows i Linux. Se sospita que aquesta varietat de programari maliciós està activa des d'almenys el juliol de 2016.
Taula de continguts
Els atacants despleguen les variants Noodle RAT basades en els sistemes de les víctimes
L'edició de Windows del Noodle RAT, una porta posterior modular que funciona a la memòria, ha estat utilitzada per grups de pirates informàtics com Iron Tiger i Calypso. S'activa mitjançant un carregador a causa de la seva estructura basada en codi shell. Aquest programari maliciós és capaç d'executar diverses ordres com ara descarregar/carregar fitxers, executar altres tipus de programari maliciós, actuar com a servidor intermediari TCP i autosuprimir-se. S'han identificat dos tipus de carregadors diferents, MULTIDROP i MICRLOAD, en atacs dirigits a Tailàndia i l'Índia, respectivament.
D'altra banda, la versió Linux del Noodle RAT ha estat emprada per diversos grups de ciberdelinqüència i espionatge associats a la Xina, com ara Rocke i Cloud Snooper. Aquesta variant és capaç d'iniciar un shell invers, gestionar transferències de fitxers, programar tasques i configurar un túnel SOCKS. Aquests atacs exploten vulnerabilitats conegudes en aplicacions d'accés públic per infiltrar-se als servidors Linux, desplegant un shell web per a l'accés remot i el lliurament de programari maliciós.
Similituds entre les versions de Noodle RAT
Malgrat les diferències en les ordres de la porta posterior, les dues versions del Noodle RAT comparteixen el mateix codi de comunicacions de comandament i control (C2) i utilitzen formats de configuració similars. Un examen més detallat dels artefactes de Noodle RAT revela que, tot i que el programari maliciós incorpora diversos connectors utilitzats per Gh0st RAT i alguns segments de la versió de Linux comparteixen similituds de codi amb Rekoobe, la porta del darrere és completament nova.
Els investigadors també han tingut accés a un tauler de control i un constructor utilitzats per a la variant Linux del Noodle RAT. Les notes de la versió escrites en xinès simplificat detallen correccions d'errors i millores, cosa que suggereix que és probable que s'hagi desenvolupat, mantingut i venut a clients específics.
Aquesta avaluació es veu reforçada per les filtracions de principis de 2024, que il·luminen un ecosistema corporatiu important de pirates per lloguer que opera des de la Xina. Aquestes filtracions subratllen les connexions operatives i organitzatives entre les entitats del sector privat i els ciberactors patrocinats per l'estat xinès.
El Noodle RAT pot ser explotat per diversos grups xinesos de ciberdelinqüència
Es creu que les eines amenaçadores provenen d'una cadena de subministrament sofisticada dins de la xarxa d'espionatge cibernètic de la Xina, on es venen comercialment i es distribueixen tant al sector privat com a entitats governamentals implicades en operacions malicioses patrocinades per l'estat. El Noodle RAT és probable que circuli o es ven entre grups de parla xinesa. Després de tot, s'ha classificat malament i subestimat durant un període prolongat.
