Investigadores en ciberseguridad han detectado una campaña de phishing que distribuye una nueva variante de malware llamada MostereRAT, un troyano de acceso remoto (RAT) dirigido a sistemas Microsoft Windows que otorga a los atacantes control completo sobre las máquinas comprometidas.

Según FortiGuard Labs, que descubrió la amenaza, lo que diferencia esta campaña es el uso estratificado de técnicas avanzadas de evasión. El malware está programado en Easy Programming Language (EPL), un lenguaje chino poco habitual en ataques cibernéticos, y opera en múltiples etapas para ocultar su comportamiento malicioso.

MostereRAT es capaz de desactivar herramientas de seguridad, bloquear tráfico de antivirus y establecer comunicación segura con su servidor de comando y control (C2) mediante mTLS (mutual TLS).

Cadena de Ataque y Distribución

La campaña comienza con correos de phishing que simulan consultas comerciales legítimas, apuntando principalmente a usuarios japoneses. Al hacer clic en un enlace, la víctima descarga un documento de Word con un archivo oculto, que luego instruye al usuario a abrir un ejecutable incrustado que lanza el malware.

El ejecutable descifra sus componentes e instala los archivos en el directorio del sistema. Se crean servicios para asegurar persistencia, algunos con privilegios SYSTEM para un acceso máximo. Antes de cerrar, el programa muestra un mensaje falso en chino simplificado indicando que el archivo es incompatible, incentivando la propagación.

Lauren Rucker, analista senior en Deepwatch, señaló:

“Dado que el vector inicial son correos de phishing que redirigen a enlaces y descargas maliciosas, la seguridad del navegador es un área crítica para defensa.”

Evasión y Escalada de Privilegios

MostereRAT puede interferir con varias protecciones de Windows: desactiva Windows Update, termina procesos de antivirus y bloquea herramientas de seguridad de comunicarse con sus servidores.

Además, escala privilegios simulando la cuenta TrustedInstaller, una de las más poderosas en Windows. James Maude, CTO de campo en BeyondTrust, explicó:

“Aunque este malware utiliza técnicas creativas combinando lenguajes de scripting poco comunes con herramientas legítimas de acceso remoto, sigue un patrón común de explotar usuarios y endpoints con privilegios elevados sin control de aplicaciones.”

Capacidades del Malware

Una vez instalado, MostereRAT permite:

• Registrar teclas y recopilar información del sistema
• Descargar y ejecutar cargas maliciosas en formatos EXE, DLL, EPK o shellcode
• Crear cuentas de administrador ocultas para mantener persistencia
• Ejecutar herramientas de acceso remoto como AnyDesk, TightVNC y RDP Wrapper

FortiGuard Labs destacó que parte de la infraestructura de MostereRAT estuvo vinculada previamente a un troyano bancario reportado en 2020, evidenciando cómo los atacantes continúan refinando técnicas para evadir sistemas de detección modernos.

James Maude enfatizó la importancia de reducir privilegios y controlar aplicaciones:

“Eliminar privilegios de administrador local reduce significativamente la superficie de ataque y limita el impacto de una infección por malware.”

Fuente: https://www.infosecurity-magazine.com/news/rat-targets-windows-users-stealth