Las instituciones financieras, en especial las firmas de corretaje y trading, se han convertido en el blanco de una campaña maliciosa que utiliza un nuevo troyano de acceso remoto (RAT) conocido como GodRAT.

De acuerdo con el investigador Saurabh Sharma de Kaspersky, la amenaza se propaga mediante archivos maliciosos .SCR (protectores de pantalla) disfrazados de documentos financieros y distribuidos a través de Skype Messenger.

Técnicas avanzadas: esteganografía y C2

Los ataques, que siguen activos hasta el 12 de agosto de 2025, emplean esteganografía, ocultando dentro de imágenes código shellcode que permite descargar el malware desde un servidor de comando y control (C2).

Estos artefactos disfrazados como protectores de pantalla han sido detectados desde septiembre de 2024, principalmente en regiones como Hong Kong, Emiratos Árabes Unidos, Líbano, Malasia y Jordania.

Origen y evolución

Basado en el conocido Gh0st RAT, GodRAT adopta un enfoque modular mediante plugins para ampliar sus capacidades, robar información sensible y distribuir cargas adicionales como AsyncRAT.

Cabe destacar que Gh0st RAT tuvo su código fuente filtrado en 2008 y desde entonces ha sido aprovechado por diversos grupos de hackers chinos. Kaspersky señala que GodRAT sería una evolución de AwesomePuppet, un backdoor documentado en 2023 y vinculado al grupo de amenazas Winnti (APT41).

Cómo funciona

Los archivos .SCR actúan como ejecutables autoextraíbles que incluyen múltiples componentes incrustados, entre ellos una DLL maliciosa que se carga mediante un ejecutable legítimo.
Esta DLL extrae shellcode oculto en imágenes .JPG, lo que finalmente da paso a la ejecución de GodRAT.

Una vez activo, el troyano:

• Se comunica con el servidor C2 mediante TCP.
• Recolecta información del sistema y lista los antivirus instalados.
• Envía estos datos al servidor, que responde con instrucciones para:
  • Inyectar DLLs de plugins en memoria.
  • Finalizar procesos y cerrar conexiones.
  • Descargar y ejecutar archivos desde URLs remotas.
  • Abrir sitios web a través de Internet Explorer.

Uno de los plugins más utilizados es FileManager, capaz de explorar el sistema de archivos, gestionar carpetas y ejecutar búsquedas. También se ha empleado para instalar ladrones de contraseñas en navegadores como Google Chrome y Microsoft Edge, así como para desplegar AsyncRAT.

Código filtrado y riesgos

Kaspersky identificó que en julio de 2024 se subió a VirusTotal el código completo de GodRAT (cliente y generador). Este builder permite crear archivos ejecutables o DLLs maliciosos, los cuales pueden inyectar código en procesos legítimos como: svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe y QQScLauncher.exe.

El payload final puede guardarse en múltiples formatos: .exe, .com, .bat, .scr y .pif.

Conclusión: Viejo código, nuevas amenazas

Aunque Gh0st RAT tiene casi dos décadas de existencia, su código sigue siendo utilizado y adaptado para nuevas campañas. El hallazgo de GodRAT confirma que bases de código heredadas continúan representando riesgos relevantes en el panorama actual de la ciberseguridad.

Fuente: https://thehackernews.com/2025/08/new-godrat-trojan-targets-trading-firms.html