No permita que la amenaza Noodle RAT se apodere de su computadora
Noodle RAT es un malware multiplataforma descubierto recientemente que ha sido utilizado por actores de amenazas de habla china tanto para espionaje como para delitos cibernéticos. Si bien inicialmente se pensó que era una variante de Gh0st RAT y Rekoobe, ahora se lo reconoce como un tipo distinto de malware.
Table of Contents
Antecedentes y evolución
Identificado por primera vez en julio de 2016, Noodle RAT, también conocido como ANGRYREBEL o Nood RAT, tiene versiones para sistemas Windows y Linux. Gh0st RAT, que apareció en 2008, ha sido un sello distintivo de los piratas informáticos del gobierno chino. A lo largo de los años, herramientas como Gh0st RAT, PlugX y ShadowPad se han utilizado ampliamente en campañas cibernéticas.
Variante de Windows
La versión para Windows de Noodle RAT es una puerta trasera modular en memoria, utilizada por grupos de hackers como Iron Tiger y Calypso. Se inicia a través de un cargador y admite varios comandos, incluida la descarga/carga de archivos, la ejecución de malware adicional, actuar como un proxy TCP y la autoeliminación. Se han observado dos cargadores, MULTIDROP y MICROLOAD, en ataques a Tailandia e India.
Variante de Linux
La contraparte Linux de Noodle RAT es utilizada por diferentes grupos de cibercrimen y espionaje vinculados a China, incluidos Rocke y Cloud Snooper. Esta variante puede iniciar un shell inverso, descargar/cargar archivos, programar ejecuciones e iniciar la tunelización SOCKS. Los ataques suelen aprovechar fallos de seguridad conocidos en aplicaciones públicas para vulnerar servidores e implementar un shell web para acceso remoto.
Puntos en común y comando y control
A pesar de las diferencias en sus comandos, las versiones de Windows y Linux comparten código idéntico para comunicaciones de comando y control (C2) y formatos de configuración similares. Un análisis más detallado muestra que, si bien Noodle RAT reutiliza complementos de Gh0st RAT y comparte código con Rekoobe, sigue siendo una pieza única de malware.
Desarrollo y Distribución
La investigación de Trend Micro reveló un panel de control y un constructor para la variante Linux de Noodle RAT, con notas de la versión en chino simplificado que indican desarrollo y mantenimiento activos. Es probable que el malware se desarrolle, mantenga y venda dentro de una compleja cadena de suministro en el ecosistema de ciberespionaje de China, en la que participan empresas del sector privado y actores patrocinados por el Estado.
Clasificación errónea y subestimación
Noodle RAT ha sido clasificado erróneamente y subestimado durante años. El grupo Mustang Panda, vinculado a China, también ha sido vinculado a campañas de phishing dirigidas a entidades vietnamitas, utilizando archivos LNK para implementar el malware PlugX.
Comprender y mitigar la amenaza que plantea Noodle RAT es crucial para proteger los sistemas del ciberespionaje y el crimen. Reconocer sus características distintivas y la sofisticada cadena de suministro detrás de su distribución puede ayudar a desarrollar estrategias de defensa efectivas.
