El malware RShell se dirige a los usuarios de MacOS
RShell es el nombre de una pieza de malware que se atribuye a un actor chino de amenazas persistentes avanzadas conocido por varios alias, sobre todo APT27 y LuckyMouse.
RShell fue descubierto por un equipo de investigación de SEKOIA y vinculado a una aplicación en chino llamada MiMi, que ha sido "troyanizada" desde finales de mayo de 2022 y se usó para descargar e implementar el malware RShell.
Según SEKOIA, esta es la primera vez que se detecta a LuckyMouse apuntando a los sistemas MacOS. Las versiones de la aplicación MiMi a partir de la actualización del 26 de mayo de 2022 tienen un código JavaScript insertado al comienzo de su función module.exports.
El fragmento de código de JavaScript se usa para verificar si el entorno es MacOS y, si lo es, el script descarga RShell desde una dirección IP que está asociada con la infraestructura C2 de LuckyMouse APT.
Una vez ejecutado, RShell intenta comunicarse con su servidor C2 y envía información del kernel, nombre de host, dirección IP y nombre de usuario del sistema host.
El malware RShell acepta una serie de comandos que incluyen enumeración de archivos y directorios, lectura de archivos, escritura de datos en archivos y eliminación y cierre de archivos.
Los vínculos entre LuckyMouse y RShell son los rangos de IP utilizados por ambos, así como el hecho de que LuckyMouse ha utilizado aplicaciones de mensajería con troyanos y armas en el pasado, similar a la aplicación de mensajería MiMi.
