Ragnatela RAT

O Ragnatela RAT é um novo Trojan de Acesso Remoto com recursos avançados. Depois de analisar a ameaça, os pesquisadores de infosec determinaram que se trata de uma nova variante baseada no anteriormente conhecido BADNEWS RAT. O Ragnatela está equipado com uma grande variedade de recursos intrusivos, permitindo que os invasores executem esquemas de espionagem cibernética ou intensifiquem o ataque para atender aos seus objetivos atuais. Como tal, o RAT pode estabelecer rotinas de keylogging e captura de tela, executar comandos arbitrários no sistema, direcionar arquivos escolhidos e transmiti-los aos invasores, buscar e iniciar cargas adicionais ameaçadoras e muito mais.

O Ragnatela e o PatchWork

O Ragnatela RAT é atribuído e observado como parte das operações de ataque realizadas pelo grupo APT estabelecido PatchWork. A ameaça foi ocultada e implantada por meio de documentos RTF armados que serviram de isca para as vítimas visadas, fingindo estar associadas às autoridades paquistanesas.

Acredita-se que os hackers do PatchWork tenham ligações com a Índia e normalmente estejam envolvidos em roubo de dados e operações de espionagem cibernética. A comunidade infosec também rastreia esse grupo sob os nomes Dropping Elephant, Chinastrats ou Quilted Tiger. Sua campanha ocorreu entre novembro e dezembro de 2021 e foi descoberta pelos especialistas em infosec apenas por causa do Ragnatela RAT.

Os hackers não conseguiram proteger seus próprios computadores suficientemente e se infectaram com o RAT acidentalmente. Esse incidente reforça o argumento de que os APTs do Leste Asiático estão operando em um nível menos sofisticado do que seus homólogos da Rússia ou da Coréia do Norte.

Vítimas e Ataques Anteriores

Durante a operação do Ragnatela, o PatchWork conseguiu comprometer vários alvos de alto perfil. Ele infectou o Ministério da Defesa do Paquistão, bem como vários membros do corpo docente de diferentes universidades que trabalham nas áreas de medicina molecular e ciências biológicas. As vítimas eram da Universidade UVAS, da Universidade SHU, do Karachi HEJ Research Institute e da National Defense University of Islam Abad.

No passado, o PatchWork tinha como alvo entidades de todo o mundo. Em março de 2018, o grupo realizou várias campanhas de spear phishing contra vários think tanks (instituições que se dedicam a produzir conhecimento sobre temas políticos, econômicos ou científicos) dos EUA, enquanto em 2016 eles foram atrás de funcionários de uma organização governamental europeia. Novamente em 2018, o PatchWork empregou documentos corrompidos carregando o BADNEWS RAT contra vários alvos no sul da Ásia.