Las instituciones financieras como las empresas comerciales y de corretaje son el objetivo de una nueva campaña que ofrece un acceso remoto previamente no reportado que Trojan llamó Godrat.
La actividad maliciosa implica la «distribución de archivos maliciosos .SCR (ahorrador de pantalla) disfrazados de documentos financieros a través de Skype Messenger», dijo el investigador de Kaspersky Saurabh Sharma en un análisis técnico publicado hoy.
Los ataques, que han estado activos tan recientemente como el 12 de agosto de 2025, emplean una técnica llamada esteganografía para ocultar dentro de los archivos de imagen que Shellcode se usa para descargar el malware de un servidor de comando y control (C2). Los artefactos del ahorro de pantalla se han detectado desde el 9 de septiembre de 2024, dirigidos a países y territorios como Hong Kong, los Emiratos Árabes Unidos, Líbano, Malasia y Jordania.
Se evalúa en base a GH0st RAT, Godrat sigue un enfoque basado en complementos para aumentar su funcionalidad para cosechar información confidencial y entregar cargas útiles secundarias como Asyncrat. Vale la pena mencionar que GH0ST RAT tuvo su código fuente filtrado públicamente en 2008 y desde entonces ha sido adoptado por varios grupos de piratería chinos.
La compañía de ciberseguridad rusa dijo que el malware es una evolución de otra puerta trasera basada en ratas GH0 conocida como AwesomePuppet que se documentó por primera vez en 2023 y que probablemente se cree que es la obra del prolífico actor de amenazas chino, Winnti (también conocido como ATKA APT41).
Los archivos de ahorro de pantalla actúan como un ejecutable de autoextraces que incorpora varios archivos integrados, incluida una DLL maliciosa que es resurgida por un ejecutable legítimo. El DLL extrae ShellCode oculto dentro de un archivo de imagen .jpg que luego allana el camino para el despliegue de Godrat.
El troyano, por su parte, establece la comunicación con el servidor C2 a través de TCP, recopila información del sistema y extrae la lista de software antivirus instalado en el host. Los detalles capturados se envían al servidor C2, después de lo cual el servidor responde con instrucciones de seguimiento que le permiten –
- Inyectar un complemento recibido DLL en la memoria
- Cierre el enchufe y termine el proceso de rata
- Descargue un archivo de una URL proporcionada y inicielo utilizando la API CreateProcessa
- Abra una URL dada usando el comando shell para abrir Internet Explorer
Uno de los complementos descargados por el malware es un Filemanager DLL que puede enumerar el sistema de archivos, realizar operaciones de archivos, abrir carpetas e incluso ejecutar búsquedas de archivos en una ubicación específica. El complemento también se ha utilizado para ofrecer cargas útiles adicionales, como un robador de contraseñas para los navegadores de Google Chrome y Microsoft Edge y el Troyano Asyncrat.
Kaspersky dijo que descubrió el código fuente completo para el cliente y constructor de Godrat que se cargó al escáner de malware en línea Virustotal a fines de julio de 2024. El constructor se puede usar para generar un archivo ejecutable o una DLL.
Cuando se elige la opción ejecutable, los usuarios tienen la opción de seleccionar un binario legítimo de una lista a la que se inyecta el código malicioso en: svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, qqmusic.exe y qqsclauncher.exe. La carga útil final se puede guardar con uno de los siguientes tipos de archivos: .exe, .com, .bat, .scr y .pif.
«Las viejas bases de código de implantes, como la rata GH0st, que tienen casi dos décadas de antigüedad, se continúan siendo utilizadas hoy», dijo Kaspersky. «Estos a menudo son personalizados y reconstruidos para atacar a una amplia gama de víctimas».
«Se sabe que estos viejos implantes han sido utilizados por varios actores de amenazas durante mucho tiempo, y el descubrimiento de Godrat demuestra que las bases de código heredadas como GH0st Rat aún pueden mantener una larga vida útil en el panorama de la ciberseguridad».