面条鼠

一种名为 Noodle RAT 的新型跨平台恶意软件此前并未被安全专家所熟知，过去几年，中文威胁者利用该恶意软件进行间谍活动和网络犯罪。研究人员最初认为 Noodle RAT 是Gh0st RAT和 Rekoobe 的变种，现在确认 Noodle RAT 不仅仅是现有恶意软件的变种，而是一种全新的威胁。它以 ANGRYREBEL 和 Nood RAT 等别名运行，兼容 Windows 和 Linux 系统。据怀疑，该恶意软件至少从 2016 年 7 月开始活跃。

攻击者根据受害者的系统部署 Noodle RAT 变种

Noodle RAT 的 Windows 版本是一种在内存中运行的模块化后门，已被 Iron Tiger 和 Calypso 等黑客组织利用。由于其基于 shellcode 的结构，它是通过加载程序激活的。该恶意软件能够执行各种命令，如下载/上传文件、运行其他恶意软件、充当 TCP 代理和自我删除。在针对泰国和印度的攻击中分别发现了两种不同的加载程序类型，即 MULTIDROP 和 MICROLOAD。

另一方面，Linux 版本的 Noodle RAT 已被与中国有关的各种网络犯罪和间谍组织使用，例如 Rocke 和 Cloud Snooper。此变体能够启动反向 shell、管理文件传输、安排任务并设置 SOCKS 隧道。这些攻击利用可公开访问的应用程序中已知的漏洞来渗透 Linux 服务器，部署 Web shell 进行远程访问和恶意软件传播。

Noodle RAT 版本之间的相似之处

尽管后门命令存在差异，但据报道，两个版本的 Noodle RAT 共享相同的命令和控制 (C2) 通信代码并使用类似的配置格式。对 Noodle RAT 工件的进一步检查表明，虽然该恶意软件整合了 Gh0st RAT 使用的各种插件，并且 Linux 版本的某些部分与 Rekoobe 共享代码相似性，但后门本身是全新的。

研究人员还获得了用于 Noodle RAT Linux 变体的控制面板和构建器的访问权限。简体中文版发布说明详细介绍了错误修复和改进，表明该软件很可能是针对特定客户开发、维护和销售的。

2024 年初的泄密事件进一步证实了这一评估，揭露了在中国运营的庞大的企业黑客雇佣生态系统。这些泄密事件凸显了私营部门实体与中国政府支持的网络行为者之间的运营和组织联系。

Noodle RAT 可能被多个中国网络犯罪集团利用

这些威胁工具被认为来自中国网络间谍网络内复杂的供应链，在那里它们被商业销售和分发给参与恶意国家支持的行动的私营部门和政府实体。Noodle RAT 很可能在讲中文的团体中传播或出售。毕竟，它长期以来一直被错误分类和低估。