Los actores de amenazas que operan bajo el nombre de Anónimos Árabes han lanzado un troyano de acceso remoto (RAT) llamado Silver RAT. Este troyano está equipado para evadir los software de seguridad y lanzar aplicaciones ocultas sin ser detectado.
En un informe publicado la semana pasada, la firma de ciberseguridad, Cyfirma, comenta que los desarrolladores operan en varios foros de hackers y en plataformas de redes sociales. La presencia de estos actores es activa y sofisticada.
Estos actores, valorados como de origen sirio y vinculados al desarrollo de otro troyano conocido como S500 RAT, también tienen un canal de Telegram en el que ofrecen varios servicios, como la distribución de RATs pirateados, bases de datos filtradas, actividades de carding y la venta de bots de Facebook y X (anteriormente Twitter).
Los bots de redes sociales son utilizados por otros delincuentes cibernéticos para promocionar varios servicios ilícitos, interactuando automáticamente con el contenido del usuario.
Las detecciones de Silver RAT v1.0 se observaron por primera vez en noviembre de 2023, aunque los planes de los actores de lanzar el troyano se hicieron oficiales un año antes. El troyano fue pirateado y filtrado en Telegram aproximadamente en octubre de 2023.
El malware basado en C# presume de una amplia gama de características para conectarse a un servidor de comando y control (C2), registrar pulsaciones de teclas, borrar puntos de restauración del sistema e incluso cifrar datos mediante ransomware. También hay indicios de que se está trabajando en una versión para Android.
«Al generar una carga útil utilizando el generador de Silver RAT, los actores de amenazas pueden seleccionar varias opciones con un tamaño de carga útil de hasta un máximo de 50 KB», señala la compañía. «Una vez conectado, la víctima aparece en el panel de control de Silver RAT controlado por el atacante, que muestra los registros de la víctima en función de las funcionalidades elegidas».
Una característica de evasión interesante integrada en Silver RAT es su capacidad para retrasar la ejecución de la carga útil durante un tiempo específico, así como para lanzar aplicaciones de forma encubierta y tomar el control del host comprometido.
Un análisis adicional de la presencia en línea del autor de malware muestra que uno de los miembros del grupo probablemente está en sus mediados de los 20 años y se encuentra en Damasco.
«El desarrollador […] parece ser partidario de Palestina según sus publicaciones de Telegram. Los miembros asociados con este grupo son activos en varias arenas, incluyendo redes sociales, plataformas de desarrollo, foros clandestinos y sitios web Clearnet, lo que sugiere su participación en la distribución de varios tipos de malware», afirma Cyfirma.
