Los investigadores de ciberseguridad han descubierto un nuevo y sofisticado troyano de acercamiento remoto llamado Resolverrat que se ha observado en ataques dirigidos a los sectores de atención médica y farmacéutica.
“El actor de amenazas aprovecha los señuelos basados en el miedo entregados a través de correos electrónicos de phishing, diseñados para presionar a los destinatarios para que haga clic en un enlace ladino”, dijo el investigador de Morphisec Labs, Nadav Lorber, en un documentación compartido con Hacker News. “Una vez que se accede, el enlace dirige al afortunado que descargue y rada un archivo que desencadena la dependencia de ejecución de ResuelverRat”.
La actividad, observada tan recientemente como el 10 de marzo de 2025, comparte el mecanismo de infraestructura y de entrega superpuesto con campañas de phishing que han entregado malware de robador de información como Lumma y Rhadamanthys, según lo documentado por Cisco Talos y Check Point el año pasado.
Un aspecto importante de la campaña es el uso de señuelos de phishing localizados, con los correos electrónicos diseñados en los idiomas que se hablan predominantemente en los países objetivo. Esto incluye hindi, italiano, checo, turco, portugués e indonesio, lo que indica los intentos del actor de amenaza de exhalar una red amplia a través de la orientación específica de la región y maximizar las tasas de infección.
El contenido textual en los mensajes de correo electrónico emplea temas relacionados con investigaciones legales o violaciones de derechos de autor que buscan inducir un inexacto sentido de necesidad y aumentar la probabilidad de interacción del afortunado.
La dependencia de infección se caracteriza por el uso de la técnica de carga adyacente DLL para iniciar el proceso. La primera etapa es un cargador en memoria que descifra y ejecuta la carga útil principal al tiempo que incorpora un categoría de trucos para derribar bajo el radar. La carga útil de ResolverRat no solo usa el enigmático y la compresión, sino que asimismo existe solo en la memoria una vez que está decodificada.
“La secuencia de inicialización del Resolverrat revela un sofisticado proceso de puesta en marcha en varias etapas diseñado para el sigilo y la resiliencia”, dijo Lorber, y agregó “implementa múltiples métodos de persistencia redundantes” por medio del registro de Windows y en el sistema de archivos instalándose en diferentes ubicaciones como un mecanismo de respaldo.
Una vez enérgico, el malware utiliza una autenticación basada en certificados a medida antiguamente de establecer el contacto con un servidor de comando y control (C2) de modo que pase por parada las autoridades raíz de la máquina. Todavía implementa un sistema de rotación IP para conectarse a un servidor C2 rotativo si el servidor C2 primario no está habitable o se retira.
Adicionalmente, ResolverRat está equipado con capacidades para evitar los esfuerzos de detección a través de la fijación de certificados, la ofuscación del código fuente y los patrones de baliza irregulares al servidor C2.
“Esta infraestructura C2 destacamento demuestra las capacidades avanzadas del actor de amenaza, que combina comunicaciones seguras, mecanismos de retroceso y técnicas de esparcimiento diseñadas para sustentar el acercamiento persistente mientras evade la detección por los sistemas de monitoreo de seguridad”, dijo Morphisec.
El objetivo final del malware es procesar los comandos emitidos por el servidor C2 y exfiltrar las respuestas con destino a a espaldas, rompiendo datos de 1 MB de tamaño en fragmentos de 16 kb para minimizar las posibilidades de detección.
La campaña aún no se ha atribuido a un categoría o país específico, aunque las similitudes en los temas de señuelo y el uso de la carga adyacente de DLL con ataques de phishing previamente observados aluden a una posible conexión.
“La adscripción (…) indica una posible superposición en la infraestructura del actor de amenaza o los libros de jugadas operativos, lo que podría apuntar a un maniquí afiliado compartido o una actividad coordinada entre los grupos de amenazas relacionados”, dijo la compañía.
El crecimiento se produce cuando Cyfirma detalló otro acercamiento remoto a Neptune Rat que utiliza un enfoque modular basado en complementos para robar información, sustentar la persistencia en el host, exigir un rescate de $ 500 e incluso sobrescribir el registro de puesta en marcha preceptor (MBR) para interrumpir el funcionamiento regular del sistema de Windows.
Se está propagando independientemente a través de Github, Telegram y YouTube. Dicho esto, el perfil GitHub asociado con el malware, llamado Masongroup (asimismo conocido como masonería), ya no es accesible.
“Neptuno RAT incorpora técnicas avanzadas contra el prospección y métodos de persistencia para sustentar su presencia en el sistema de la víctima durante períodos prolongados y viene con características peligrosas”, señaló la compañía en un prospección publicado la semana pasada.
Incluye un “Cripto Clipper, robador de contraseñas con capacidades para exfiltrarse más de más de 270 credenciales de aplicaciones diferentes, capacidades de ransomware y monitoreo de escritorio en vivo, por lo que es una amenaza extremadamente seria”.
