Los cazadores de amenazas están llamando la atención sobre una nueva variante de un troyano de acceso remoto (rata) llamado Rata de caos Eso se ha utilizado en ataques recientes dirigidos a los sistemas de Windows y Linux.
Según los hallazgos de Acronis, el artefacto de malware puede haberse distribuido engañando a las víctimas para descargar una utilidad de solución de problemas de red para entornos de Linux.
«Chaos Rat es una rata de código abierto escrita en Golang, que ofrece soporte multiplataforma tanto para los sistemas de Windows como para los sistemas de Linux», dijeron los investigadores de seguridad Santiago Pontiroli, Gabor Molnar y Kirill Antonenko en un informe compartido con The Hacker News.
«Inspirado en marcos populares como Cobalt Strike y Sliver, Chaos Rat proporciona un panel administrativo donde los usuarios pueden construir cargas útiles, establecer sesiones y controlar máquinas comprometidas».
Si bien el trabajo en la «herramienta de administración remota» comenzó en 2017, no llamó la atención hasta diciembre de 2022, cuando se usó en una campaña maliciosa dirigida a aplicaciones web públicas alojadas en sistemas Linux con el minero de criptomonedas XMRIG.
Una vez instalado, el malware se conecta a un servidor externo y espera comandos que le permitan iniciar shells inverso, cargar/descargar/eliminar archivos, enumerar archivos y directorios, tomar capturas de pantalla, recopilar información del sistema, bloquear/reiniciar/cerrar la máquina y abrir URL arbitrarias. La última versión de Chaos Rat es 5.0.3, que se lanzó el 31 de mayo de 2024.
Acronis dijo que las variantes de Linux del malware se han detectado en la naturaleza, a menudo en relación con las campañas mineras de criptomonedas. Las cadenas de ataque observadas por la compañía muestran que Chaos Rat se distribuye a las víctimas a través de correos electrónicos de phishing que contienen enlaces o archivos adjuntos maliciosos.
Estos artefactos están diseñados para soltar un script malicioso que puede modificar el programador de tareas «/etc/crontab» para obtener el malware periódicamente como una forma de establecer persistencia.
«Las primeras campañas utilizaron esta técnica para entregar mineros de criptomonedas y ratas del caos por separado, lo que indica que el caos se empleó principalmente para el reconocimiento y la recopilación de información en dispositivos comprometidos», dijeron los investigadores.
Un análisis de una muestra reciente cargada a Virustotal en enero de 2025 desde la India con el nombre «NetworkAnalyzer.tar.gz», ha aumentado la posibilidad de que los usuarios se engañen para descargar el malware enmascarándolo como una utilidad de resolución de problemas de red para entornos de Linux.
Además, se ha encontrado que el panel de administración que permite a los usuarios construir cargas útiles y administrar máquinas infectadas es susceptible a una vulnerabilidad de inyección de comandos (CVE-2024-30850, puntaje CVSS: 8.8) que podría combinarse con un defecto de secuestro de sitios cruzados (CVE-2024-31839, puntaje CVSS: 4.8) para ejecutar el código de secuestro de sitios de sitios de situaciones. Ambas vulnerabilidades han sido abordadas por el mantenedor de Chaos Rat a partir de mayo de 2024.
Si bien actualmente no está claro quién está detrás del uso de la rata Chaos en ataques del mundo real, el desarrollo una vez más ilustra cómo los actores de amenaza continúan armando las herramientas de código abierto para su ventaja y confunden los esfuerzos de atribución.
«Lo que comienza como herramienta de desarrollador puede convertirse rápidamente en un instrumento de amenaza del actor elegido», dijeron los investigadores. «El uso de malware disponible públicamente ayuda a los grupos APT a combinarse con el ruido del delito cibernético cotidiano. El malware de código abierto ofrece un juego de herramientas ‘lo suficientemente bueno’ que se puede personalizar y implementar rápidamente. Cuando múltiples actores usan el mismo malware de código abierto, confunde las aguas de la atribución».
La divulgación coincide con el surgimiento de una nueva campaña que se dirige a los usuarios de billeteras de confianza en el escritorio con versiones falsificadas que se distribuyen a través de enlaces de descarga engañosos, correos electrónicos de phishing o software agrupado con el objetivo de cosechar credenciales de navegador, extraer datos de las billeteras basadas en el escritorio y las extensiones de billeteras y las extensiones de navegador, la ejecución de comandos y actuar como malware.
«Una vez instalado, el malware puede escanear archivos de billetera, interceptar datos de portapapeles o monitorear sesiones de navegador para capturar frases de semillas o claves privadas», dijo el investigador de Point Wild Kedar S Pandit en un informe publicado esta semana.
