La seguridad informática enfrenta constantemente nuevos desafíos y amenazas que evolucionan a un ritmo acelerado. Una de estas amenazas emergentes es Xeno RAT, un troyano de acceso remoto de código abierto que ha encontrado un nicho preocupante en plataformas como GitHub. Este malware representa una alarma significativa para usuarios y administradores de sistemas por igual, debido a su capacidad para infiltrarse discretamente en sistemas informáticos y conceder a los atacantes un control casi total sobre los dispositivos comprometidos.
El troyano de acceso remoto (RAT) Xeno RAT, de diseño sofisticado y alojado en GitHub, se presenta como una herramienta peligrosamente accesible para actores malintencionados sin incurrir en costos. Desarrollado en C# y optimizado para los sistemas operativos Windows 10 y Windows 11, este RAT de código abierto ofrece un arsenal completo de herramientas para el control remoto de sistemas, según su creador, conocido bajo el alias de moom825.
Entre sus características se incluye un proxy inverso SOCKS5 y la capacidad de capturar audio en tiempo real. También destaca por integrar un módulo de computación en red virtual oculto (hVNC), similar a DarkVNC, facilitando a los atacantes el acceso remoto completo a los sistemas comprometidos.
"Xeno RAT fue creado desde cero, asegurando una solución única y personalizada para el acceso remoto," afirma el desarrollador en la descripción del proyecto. Además, el RAT permite a los usuarios crear variantes personalizadas del malware mediante un constructor integrado.
Conoce más sobre: Análisis de Malware con Wazuh
Es importante mencionar que moom825 también está detrás de otro RAT basado en C# denominado DiscordRAT 2.0, el cual ha sido distribuido por actores de amenazas a través de un paquete npm malicioso llamado node-hide-console-windows, según un informe de ReversingLabs en octubre de 2023.
Según un informe reciente de la firma de ciberseguridad Cyfirma, Xeno RAT se ha estado propagando a través de la red de entrega de contenido (CDN) de Discord, evidenciando cómo el malware accesible y de código abierto está impulsando un aumento en las campañas que emplean RATs.
"El principal método de infección es a través de un archivo de acceso directo, camuflado como una captura de pantalla de WhatsApp, que funciona como un descargador," explican desde Cyfirma. Este descargador obtiene un archivo ZIP desde el CDN de Discord, lo descomprime y ejecuta la carga útil de la siguiente etapa, empleando una técnica de carga lateral de DLL para iniciar una DLL maliciosa y establecer persistencia, mientras evade análisis y detección.
Este descubrimiento llega simultáneamente con el informe del Centro de Inteligencia de Seguridad AhnLab (ASEC) sobre una variante de Gh0st RAT denominada Nood RAT, dirigida a sistemas Linux para recopilar información confidencial. "A pesar de su simplicidad, Nood RAT incluye funciones de cifrado para esquivar la detección de paquetes de red y puede recibir comandos para ejecutar múltiples actividades maliciosas," reporta ASEC.
También te podrá interesar: El Peligroso Auge de Remcos RAT a través de Discord
Xeno RAT es un recordatorio de que las amenazas cibernéticas continúan evolucionando, y la importancia de mantenerse vigilante y proactivo en la ciberseguridad nunca ha sido más crítica. Al comprender las tácticas y herramientas utilizadas por los atacantes, como el Xeno RAT, individuos y organizaciones pueden estar mejor preparados para defenderse contra estas amenazas. La educación continua, la implementación de prácticas de seguridad sólidas, y el mantenimiento de la vigilancia son esenciales para proteger la información y los activos en el panorama cibernético actual.
A medida que navegamos por este panorama en constante cambio, es imperativo adoptar un enfoque multifacético para la ciberseguridad, combinando tecnología, educación, y buenas prácticas para mitigar el riesgo de ataques y asegurar la integridad de nuestros sistemas y datos.