El actor de amenaza conocido como Caracal oscuro se ha atribuido a una campaña que desplegó un troyano de acceso remoto llamado Poco Rat en ataques dirigidos a objetivos de habla hispana en América Latina en 2024.
Los hallazgos provienen de la compañía de ciberseguridad rusa Positive Technologies, que describió el malware cargado con un «conjunto completo de características de espionaje».
«Podría cargar archivos, capturar capturas de pantalla, ejecutar comandos y manipular procesos del sistema», dijeron los investigadores Denis Kazakov y Sergey Samokhin en un informe técnico publicado la semana pasada.
Poco RAT fue documentado previamente por Cofense en julio de 2024, detallando los ataques de phishing dirigidos a los sectores de minería, fabricación, hospitalidad y servicios públicos. Las cadenas de infección se caracterizan por el uso de señuelos con temática de finanzas que desencadenan un proceso de varios pasos para implementar el malware.
Si bien la campaña no se atribuyó a ninguna amenaza en ese momento, Positive Technologies dijo que identificó las superposiciones de Tradecraft con Dark Caracal, una amenaza persistente avanzada (apt) conocida por operar familias de malware como CrossRat y Bandook. Está operativo desde al menos 2012.
En 2021, el Grupo Cyber Mercenary estaba vinculado a una campaña de ciber espionaje denominado Bandidos que entregó una versión actualizada del malware Bandook contra países de habla hispana en América del Sur.
El último conjunto de ataques continúa su enfoque en los usuarios de habla hispana, aprovechando los correos electrónicos de phishing con temas relacionados con la factura que tienen archivos adjuntos maliciosos escritos en español como punto de partida. Un análisis de los artefactos de ratas POCO indica que las intrusiones se dirigen principalmente a empresas en Venezuela, Chile, la República Dominicana, Colombia y Ecuador.
Los documentos de señuelo adjuntos se hacen pasar por una amplia gama de verticales de la industria, incluidas la banca, la fabricación, la atención médica, los productos farmacéuticos y la logística, en un intento por prestar el esquema un poco más de creencia.
Cuando se abren, los archivos redirigen a las víctimas a un enlace que desencadena la descarga de un archivo .Rev de servicios legítimos de intercambio de archivos o plataformas de almacenamiento en la nube como Google Drive y Dropbox.
«Los archivos con la extensión .Rev se generan usando Winrar y se diseñaron originalmente para reconstruir volúmenes faltantes o corruptos en archivos de varias partes», explicaron los investigadores. «Los actores de amenaza los reutilizan como contenedores de carga útil sigilosa, ayudando a malware a evadir la detección de seguridad».
Presente dentro del archivo hay un cuentagotas basado en Delphi que es responsable de lanzar POCO RAT, que, a su vez, establece contacto con un servidor remoto y otorga a los atacantes el control total sobre los hosts comprometidos. El malware obtiene su nombre del uso de bibliotecas POCO en su base de código C ++.
Algunos de los comandos compatibles de Poco Rat se enumeran a continuación –
- T-01: envíe datos del sistema recopilados al servidor de comando y control (C2)
- T -02: recupere y transmita el título de la ventana activa al servidor C2
- T -03 – Descargar y ejecutar un archivo ejecutable
- T -04 – Descargue un archivo a la máquina comprometida
- T -05 – Capture una captura de pantalla y envíela al servidor C2
- T -06: ejecute un comando en cmd.exe y envíe la salida al servidor C2
«Poco RAT no viene con un mecanismo de persistencia incorporado», dijeron los investigadores. «Una vez que se completa el reconocimiento inicial, el servidor probablemente emite un comando para establecer la persistencia, o los atacantes pueden usar POCO RAT como un trampolín para implementar la carga útil principal».