Sin nombre, sin rostro, sin rastro en el sistema: investigadores han descubierto una nueva generación de troyanos fantasma
Buscar este RAT en el sistema operativo es como atrapar humo con las manos desnudas.
Los especialistas de Fortinet informaron sobre un malware inusual detectado durante el análisis de una máquina infectada, en la que estuvo activo durante varias semanas. Se trata de una biblioteca de Windows de 64 bits con cabeceras DOS y PE dañadas, lo que complica seriamente tanto su detección automática como el análisis manual de la amenaza. A pesar de los intentos de obstaculizar la investigación, el equipo logró reconstruir el comportamiento del malware recreando el entorno original de infección en un sistema aislado.
Los archivos en formato PE (Portable Executable), utilizados en Windows, contienen información importante sobre la estructura del programa —incluidas las cabeceras DOS y PE. La cabecera DOS mantiene la compatibilidad con MS-DOS y permite al sistema reconocer el archivo como ejecutable. La cabecera PE contiene los datos necesarios para cargar y ejecutar el programa en Windows. En este caso, ambos segmentos fueron intencionalmente alterados para dificultar la ingeniería inversa y complicar la extracción de la carga útil desde el volcado de memoria.
Aunque no fue posible extraer el archivo del malware, los especialistas de Fortinet obtuvieron un volcado de memoria del proceso en ejecución y un volcado completo de la memoria operativa del dispositivo infectado. El malware se ejecutaba en el proceso «dllhost.exe» y su lanzamiento se realizaba a través de un archivo por lotes y scripts de PowerShell. Aún no se ha determinado con precisión el método de propagación ni el alcance del ataque.
El análisis mostró que, tras su lanzamiento, el malware descifra desde la memoria la dirección del servidor de comando y establece conexión con él. Durante el ataque se utilizó el dominio «rushpapers[.]com», con el que se comunicaba mediante el protocolo TLS. El hilo principal del programa entra en un «modo de suspensión», mientras que un hilo auxiliar se encarga de establecer la conexión y transmitir los datos.
Funcionalmente, el malware representa un RAT completo —un troyano de acceso remoto con una amplia gama de capacidades. Puede tomar capturas de pantalla, gestionar servicios del sistema y operar en modo servidor, aceptando conexiones del atacante. Para ello, se ha implementado una arquitectura multihilo: cada nueva conexión utiliza un hilo independiente, lo que permite trabajar en paralelo con múltiples clientes y realizar operaciones más complejas.
Según la evaluación de Fortinet, esta arquitectura permite al atacante utilizar el dispositivo infectado como una herramienta completa de control remoto, desde la cual ejecutar comandos, atacar otros objetivos o mantener el control sobre la red de la víctima.