Los investigadores de ciberseguridad han descubierto un nuevo y sofisticado troyano de acceso remoto llamado Resolverrat que se ha observado en ataques dirigidos a los sectores de atención médica y farmacéutica.
«El actor de amenazas aprovecha los señuelos basados en el miedo entregados a través de correos electrónicos de phishing, diseñados para presionar a los destinatarios para que haga clic en un enlace malicioso», dijo el investigador de Morphisec Labs, Nadav Lorber, en un informe compartido con Hacker News. «Una vez que se accede, el enlace dirige al usuario que descargue y abra un archivo que desencadena la cadena de ejecución de ResuelverRat».
La actividad, observada tan recientemente como el 10 de marzo de 2025, comparte el mecanismo de infraestructura y de entrega superpuesto con campañas de phishing que han entregado malware de robador de información como Lumma y Rhadamanthys, según lo documentado por Cisco Talos y Check Point el año pasado.
Un aspecto notable de la campaña es el uso de señuelos de phishing localizados, con los correos electrónicos diseñados en los idiomas que se hablan predominantemente en los países objetivo. Esto incluye hindi, italiano, checo, turco, portugués e indonesio, lo que indica los intentos del actor de amenaza de lanzar una red amplia a través de la orientación específica de la región y maximizar las tasas de infección.
El contenido textual en los mensajes de correo electrónico emplea temas relacionados con investigaciones legales o violaciones de derechos de autor que buscan inducir un falso sentido de urgencia y aumentar la probabilidad de interacción del usuario.
La cadena de infección se caracteriza por el uso de la técnica de carga lateral DLL para iniciar el proceso. La primera etapa es un cargador en memoria que descifra y ejecuta la carga útil principal al tiempo que incorpora un grupo de trucos para volar bajo el radar. La carga útil de ResolverRat no solo usa el cifrado y la compresión, sino que también existe solo en la memoria una vez que está decodificada.
«La secuencia de inicialización del Resolverrat revela un sofisticado proceso de arranque en varias etapas diseñado para el sigilo y la resiliencia», dijo Lorber, y agregó «implementa múltiples métodos de persistencia redundantes» por medio del registro de Windows y en el sistema de archivos instalándose en diferentes ubicaciones como un mecanismo de respaldo.
Una vez lanzado, el malware utiliza una autenticación basada en certificados a medida antes de establecer el contacto con un servidor de comando y control (C2) de modo que pase por alto las autoridades raíz de la máquina. También implementa un sistema de rotación IP para conectarse a un servidor C2 alternativo si el servidor C2 primario no está disponible o se retira.
Además, ResolverRat está equipado con capacidades para evitar los esfuerzos de detección a través de la fijación de certificados, la ofuscación del código fuente y los patrones de baliza irregulares al servidor C2.
«Esta infraestructura C2 avanzada demuestra las capacidades avanzadas del actor de amenaza, que combina comunicaciones seguras, mecanismos de retroceso y técnicas de evasión diseñadas para mantener el acceso persistente mientras evade la detección por los sistemas de monitoreo de seguridad», dijo Morphisec.
El objetivo final del malware es procesar los comandos emitidos por el servidor C2 y exfiltrar las respuestas hacia atrás, rompiendo datos de 1 MB de tamaño en fragmentos de 16 kb para minimizar las posibilidades de detección.
La campaña aún no se ha atribuido a un grupo o país específico, aunque las similitudes en los temas de señuelo y el uso de la carga lateral de DLL con ataques de phishing previamente observados aluden a una posible conexión.
«La alineación (…) indica una posible superposición en la infraestructura del actor de amenaza o los libros de jugadas operativos, lo que podría apuntar a un modelo afiliado compartido o una actividad coordinada entre los grupos de amenazas relacionados», dijo la compañía.
El desarrollo se produce cuando Cyfirma detalló otro acceso remoto a Neptune Rat que utiliza un enfoque modular basado en complementos para robar información, mantener la persistencia en el host, exigir un rescate de $ 500 e incluso sobrescribir el registro de arranque maestro (MBR) para interrumpir el funcionamiento normal del sistema de Windows.
Se está propagando libremente a través de Github, Telegram y YouTube. Dicho esto, el perfil GitHub asociado con el malware, llamado Masongroup (también conocido como masonería), ya no es accesible.
«Neptuno RAT incorpora técnicas avanzadas contra el análisis y métodos de persistencia para mantener su presencia en el sistema de la víctima durante períodos prolongados y viene con características peligrosas», señaló la compañía en un análisis publicado la semana pasada.
Incluye un «Cripto Clipper, robador de contraseñas con capacidades para exfiltrarse más de más de 270 credenciales de aplicaciones diferentes, capacidades de ransomware y monitoreo de escritorio en vivo, por lo que es una amenaza extremadamente seria».