El equipo de investigación de Acronis TRU descubrió nuevas variantes de Chaos RAT que están apuntando tanto a sistemas Linux como Windows en ataques recientes. Aunque este malware ya se había visto por primera vez en 2022, ha ido evolucionando, y en 2024 comenzó a mostrar versiones más sofisticadas. Ahora, en 2025, siguen apareciendo nuevas muestras.
Además, TRU identificó una vulnerabilidad crítica en el panel web de esta RAT que podría permitir a un atacante ejecutar código de forma remota, algo bastante grave. Una de las últimas versiones incluso engaña a las víctimas para que descarguen lo que parece ser una herramienta para resolver problemas de red en Linux, pero en realidad es parte del ataque. O sea, están afinando sus métodos de infección para ser cada vez más convincentes.
Según el informe de Acronis: "Desarrollado en Golang, Chaos RAT funciona tanto en Windows como en Linux, y es un buen ejemplo de cómo herramientas aparentemente útiles pueden terminar siendo aprovechadas por ciberdelincuentes para fines bastante oscuros."
También señalan que, aunque su uso general todavía no es masivo, las muestras recientes demuestran que Chaos RAT sigue activo. Y lo peor es que pasa bastante desapercibido, lo cual lo hace ideal para espionaje, robo de datos o incluso como punto de partida para ataques más graves, como ransomware.
Por si no estás familiarizado, Chaos RAT es una herramienta de acceso remoto de código abierto creada en Golang, pensada para dar control total a los atacantes sobre sistemas comprometidos. Toma inspiración de herramientas conocidas como Cobalt Strike y Sliver, y cuenta con un panel desde donde se pueden generar cargas maliciosas, manejar sesiones y controlar equipos infectados.
Aunque el malware escrito en Go suele ser más pesado y un poco más lento que los creados en C++, su gran ventaja es la facilidad para adaptarse a múltiples plataformas y lo rápido que se puede desarrollar. Esa flexibilidad es justo lo que lo hace tan atractivo para quienes buscan lanzar ataques con el menor esfuerzo posible.
¿Qué es Chaos RAT?: De herramienta legítima a arma cibernética
Lo que empezó como una herramienta legítima para la gestión remota de sistemas, hoy es un dolor de cabeza en el mundo de la ciberseguridad. Chaos RAT, al ser de código abierto, ha sido adoptado y modificado por distintos grupos de atacantes para sus propios fines. Aunque su desarrollo comenzó por allá en 2017, no fue hasta finales de 2022 que se empezó a usar realmente en ataques, sobre todo contra sistemas Linux, dentro de campañas de minería de criptomonedas.
Desde entonces, su uso no ha hecho más que crecer, y eso debería ponernos en alerta: entender cómo funciona este RAT, cómo se cuela en los sistemas y cómo defendernos de él, ya no es opcional.
¿Cómo se propaga Chaos RAT?
Generalmente, llega a través de correos de phishing. Sí, los de siempre: correos con enlaces o archivos adjuntos que parecen inofensivos pero esconden sorpresas desagradables. En sus primeras campañas, los atacantes usaban tareas cron (el equivalente a programar acciones automáticas en Linux) para seguir actualizando el malware de forma remota, sin necesidad de volver a entrar al sistema. Así podían soltar un minero de criptomonedas o el propio Chaos RAT y olvidarse del asunto.
En muchos casos, la RAT se usaba principalmente para hacer un reconocimiento del sistema, recolectando información útil antes de lanzar ataques más agresivos. Por ejemplo, en un caso reciente en India, se detectó un archivo llamado NetworkAnalyzer.tar.gz que contenía Chaos RAT disfrazado como una inocente herramienta de diagnóstico de red para Linux. Esto deja claro que los atacantes están usando ingeniería social para hacer caer a sus víctimas.
Podría interesarte leer: Nuevo Ataque con Atomic macOS Stealer Dirigido a Usuarios de Apple
¿Qué puede hacer Chaos RAT?
Bastante, para ser sinceros. Es una herramienta de control remoto bastante completa. Entre otras cosas, puede:
-
Recoger info del sistema y del usuario
-
Tomar capturas de pantalla
-
Reiniciar o apagar el equipo
-
Bloquear o cerrar sesión de usuarios (en Windows)
-
Navegar por archivos, cargarlos, descargarlos, o eliminarlos
-
Abrir URLs en el navegador por defecto
Y todo esto en sistemas Windows y Linux, con algunas funciones específicas para cada uno. Básicamente, permite a los atacantes tener el control total del equipo infectado y hacer lo que quieran con la información que encuentren.
Además, Chaos RAT facilita la gestión remota de archivos, abrir shells inversos (una forma de tener línea de comandos en la máquina víctima) y crear túneles de red para esconder tráfico, ideal para espiar, robar datos, o incluso preparar el terreno para un ataque de ransomware.
¿Por qué es tan difícil de detectar?
Una de las claves está en que es software de código abierto. Cualquiera puede tomar el código, hacerle modificaciones, y lanzar su propia versión personalizada. Eso significa que los antivirus y otras soluciones de seguridad lo tienen más difícil para identificarlo, porque cada variante puede verse diferente, aunque haga lo mismo.
Por si fuera poco, Chaos RAT está hecho en Golang, un lenguaje de programación que compila ejecutables multiplataforma muy fácilmente. Aunque los programas hechos en Go suelen ser más grandes y algo más lentos que otros, permiten a los atacantes crear versiones para Linux y Windows sin muchos cambios en el código. Esto acelera el desarrollo y despliegue de nuevas variantes.
No todo lo que es open source es bueno
Como dice el informe de Acronis:"Una herramienta pensada para desarrolladores puede terminar siendo el juguete favorito de los ciberdelincuentes." Y Chaos RAT es el ejemplo perfecto. Tiene una interfaz web sencilla, ofrece control total sobre sistemas comprometidos, permite ejecutar comandos remotos, mover archivos, abrir shells, y mucho más.
En manos equivocadas, el código abierto se convierte en un arma. Y Chaos RAT nos recuerda que lo que puede ser útil para la administración legítima, también puede volverse una pesadilla de seguridad cuando se militariza.
Gracias a su capacidad para desplegarse rápido, enfocarse en sistemas Linux sin levantar sospechas y adaptarse fácilmente a distintos entornos, Chaos RAT sigue creciendo como una amenaza silenciosa pero potente.
Conoce más sobre: 8 Pasos para Realizar una Evaluación de Vulnerabilidades de Red
Recomendaciones de seguridad para equipos de defensa
Si formas parte del equipo de seguridad de una empresa, aquí van algunos consejos prácticos para protegerse contra Chaos RAT:
-
Bloquea los dominios C2 conocidos que estén relacionados con Chaos RAT. Así evitas que el malware se conecte con los servidores de los atacantes.
-
Echa un ojo a las tareas programadas en Linux, especialmente en el archivo
/etc/crontab. Si ves entradas raras o que no deberían estar ahí, podría ser una señal de que algo anda mal. -
Usa herramientas de seguridad como listas blancas de aplicaciones y EDR, que puedan detectar cargas maliciosas hechas en Golang. Este tipo de malware suele colarse porque no siempre levanta sospechas.
-
Capacita a los usuarios para que no descarguen software de fuentes desconocidas o dudosas. Un clic en el archivo equivocado puede abrirle la puerta al atacante.
-
Y si usas el panel de Chaos RAT para tareas de prueba o investigación (como parte de un equipo rojo, por ejemplo), asegúrate de tenerlo siempre bien parcheado y actualizado. No querrás que te juegue en contra.
