Los hackers de PatchWork APT exponen sus sistemas a través de Ragnatela RAT
Los grupos de amenazas persistentes avanzadas (APT) se encuentran entre las organizaciones de ciberdelincuencia más peligrosas. Por lo general, tienen un malware de última generación a su disposición y confían en mecanismos de ataque muy avanzados para penetrar en los sistemas de sus víctimas, sin dejar huellas. Sin embargo, parece que uno de los grupos APT activos en los últimos meses, PatchWork, ha cometido un gran error durante su último ataque.
Los piratas informáticos de PatchWork APT habían estado usando una pieza de malware conocida como Ragnatela RAT. Se lo entregan a las víctimas a través de archivos adjuntos de correo electrónico maliciosos, y su objetivo final es obtener la capacidad de ejecutar comandos remotos, robar archivos y espiar a sus víctimas. Sin embargo, por una razón desconocida, los piratas informáticos también infectaron sus propios sistemas con Ragnatela RAT. Esto puede parecer un gran problema, pero debe recordar que toda la inteligencia que recopila este troyano se envía a un servidor de comando y control.
Ragnatela RAT Logs reveló el funcionamiento interno de PatchWork
El servidor en cuestión fue comprometido por los investigadores de seguridad y esto, a su vez, les permitió espiar a los piratas informáticos de PatchWork durante un período prolongado de tiempo. Durante esta operación, los expertos en seguridad pudieron recopilar mucha información sobre los ataques de PatchWork y el arsenal que tienen a su disposición. Esto se logró gracias a la obtención de capturas de pantalla, registros de registro de teclas, archivos, documentos, comunicaciones y más. Dicha información es increíblemente valiosa para los investigadores de malware, ya que les brinda una perspectiva completamente nueva sobre cómo operan los grupos APT.
En este escenario, parecería que los piratas informáticos de PatchWork del este de Asia no están tan avanzados como otros grupos APT de alto perfil, como los de Corea del Norte y Rusia. Independientemente de las operaciones más simples que ejecuta PatchWork, sus objetivos siguen siendo de muy alto perfil. La campaña Ragnatela RAT ha infectado sistemas pertenecientes al Ministerio de Defensa de Pakistán, así como a los de varias universidades.