Ragnatela RAT

Il Ragnatela RAT è un nuovo Trojan di accesso remoto con funzionalità avanzate. Dopo aver analizzato la minaccia, i ricercatori di Infosec hanno stabilito che si tratta di una nuova variante basata sul precedentemente noto BADNEWS RAT. Ragnatela è dotato di un'ampia gamma di capacità intrusive che consentono agli aggressori di eseguire entrambi gli schemi di spionaggio informatico o di intensificare l'attacco per soddisfare i loro obiettivi attuali. In quanto tale, il RAT è in grado di stabilire routine di keylogging e di acquisizione dello schermo, eseguire comandi arbitrari sul sistema, indirizzare i file scelti e trasmetterli agli aggressori, recuperare e avviare ulteriori payload minacciosi e altro ancora.

Ragnatela e Patchwork

La Ragnatela RAT è attribuita e osservata nell'ambito delle operazioni di attacco effettuate dall'affermato gruppo APT PatchWork. La minaccia è stata nascosta e dispiegata attraverso documenti RTF armati che hanno agito da esca per le vittime prese di mira fingendosi associati alle autorità pakistane.

Si ritiene che gli hacker di PatchWork abbiano legami con l'India e siano in genere coinvolti in operazioni di furto di dati e spionaggio informatico. La comunità di infosec tiene traccia di questo gruppo anche con i nomi Dropping Elephant, Chinastrats o Quilted Tiger. La loro campagna si è svolta tra novembre e dicembre 2021 ed è stata scoperta dagli esperti di infosec esclusivamente a causa del Ragnatela RAT.

Gli hacker non sono riusciti a proteggere i propri computersufficientemente e si sono infettati con il RATaccidentalmente. Questo incidente rafforza l'argomento secondo cui gli APT dell'Asia orientale operano a un livello meno sofisticato rispetto alle loro controparti dalla Russia o dalla Corea del Nord.

Vittime e attacchi passati

Durante l'operazione Ragnatela, PatchWork è riuscita a compromettere diversi obiettivi di alto profilo. Ha infettato il Ministero della Difesa pakistano, così come diversi docenti di diverse università che lavorano nei campi della medicina molecolare e delle scienze biologiche. Le vittime provenivano dall'Università UVAS, dall'Università SHU, dal Karachi HEJ Research Institute e dalla National Defense University of Islam Abad.

In passato, PatchWork ha preso di mira entità da tutto il mondo. Nel marzo 2018, il gruppo ha condotto diverse campagne di spear-phishing contro diversi think tank statunitensi, mentre nel 2016 ha inseguito i dipendenti di un'organizzazione governativa europea. Sempre nel 2018, PatchWork ha utilizzato documenti corrotti che trasportavano il BADNEWS RAT contro più obiettivi nell'Asia meridionale.