El rootkit para reptiles utiliza la activación de puertos

Los actores de amenazas cibernéticas han centrado su atención en los sistemas Linux en Corea del Sur, implementando un rootkit de código abierto llamado Reptile. Lo que diferencia a Reptile del malware rootkit convencional es su funcionalidad avanzada. Más allá de simplemente ocultar su presencia, Reptile ofrece una función de shell inverso, que brinda a los atacantes un medio directo para tomar el control de los sistemas comprometidos. Esta revelación es cortesía del Centro de Respuesta a Emergencias de Seguridad AhnLab (ASEC), que publicó un informe recientemente.

El modus operandi de Reptile implica una técnica interesante conocida como "golpe de puerto". Aquí, el malware activa un puerto específico para que se abra en un sistema comprometido, poniendo efectivamente el sistema en modo de espera. Cuando un actor de amenazas envía un "paquete mágico" especialmente diseñado al host infectado, el paquete sirve como disparador para establecer una conexión con el servidor de comando y control (C&C).

Reptile muestra posibles vínculos con Pupy RAT

En esencia, un rootkit es un programa malicioso diseñado deliberadamente para asegurar el acceso elevado a un sistema informático, todo mientras mantiene su presencia clandestina. Desde 2022, Reptile se ha empleado en al menos cuatro campañas distintas. Trend Micro identificó su primera aparición en mayo de 2022 cuando se vinculó al conjunto de intrusión Earth Berberoka, utilizado para ocultar conexiones y procesos relacionados con el troyano Pupy RAT. Este último se utilizó en ataques contra sitios web de apuestas en China.

Avance rápido hasta marzo de 2023, y Mandiant, propiedad de Google, expuso una serie de ataques orquestados por UNC3886, un presunto grupo de actores de amenazas vinculado a China. Estos atacantes explotaron las vulnerabilidades de día cero en los dispositivos de Fortinet para distribuir varios implantes personalizados, incluido Reptile.

Otro caso en el mismo mes destacó el uso de malware basado en reptiles llamado Mélofée por parte de un grupo de hackers chino, según ExaTrack. Por último, una operación de cryptojacking señalada por Microsoft en junio de 2023 usó una puerta trasera de script de shell de descarga de reptiles para enmascarar sus actividades.

Un análisis en profundidad de la mecánica de Reptile revela la presencia de un cargador que aprovecha una herramienta llamada "kmatryoshka" para descifrar y cargar el módulo del kernel del rootkit en la memoria del sistema. Una vez cargado, el rootkit abre un puerto designado y espera a que un atacante transmita un paquete mágico, una técnica que recuerda a otro rootkit llamado Syslogk, que fue documentado por Avast el año anterior.

Además, la firma de seguridad cibernética de Corea del Sur señaló que habían descubierto un caso de ataque que involucraba a Reptile en el país. Curiosamente, este incidente tenía similitudes tácticas con el ataque de Mélofée, lo que sugiere conexiones potenciales entre los actores de ciberamenazas y sus metodologías.