La compañía de seguridad informática Kaspersky ha descubierto una variante de Linux del troyano DinodasRAT que ha sido utilizado para llevar a cabo ataques en China, Taiwán, Turquía y Uzbekistán. Este software malicioso, creado con C++, tiene la capacidad de recopilar una gran cantidad de información sensible de los dispositivos comprometidos.
En octubre de 2023, la Operación Jacana utilizó la versión de DinodasRAT para Windows para realizar una campaña de espionaje cibernético contra un organismo gubernamental de Guyana, según reveló ESET. La semana pasada, Trend Micro descubrió que el malware estaba siendo utilizado desde 2023 como parte de una amenaza global dirigida a distintos entes gubernamentales.
Los responsables del uso de DinodasRAT están relacionados con distintos actores amenazantes de China, incluyendo el grupo LuoYu, quienes frecuentemente intercambian herramientas entre ellos.
Según Kaspersky, el troyano DinodasRAT se descubrió por primera vez en 2021 y su versión actual es la V10. Este software malicioso ataca a sistemas operativos basados en Red Hat y Ubuntu Linux, y una vez que se instala, el troyano persiste en el dispositivo por medio de scripts de inicio de SystemV o SystemD. El troyano se comunica con un servidor remoto periódicamente por medio de TCP o UDP para recibir comandos.
DinodasRAT tiene la capacidad de manipular archivos, cambiar direcciones de control y comando (C2), detectar y terminar procesos en ejecución, ejecutar comandos shell, descargar una nueva versión del troyano e incluso desinstalar el malware en sí mismo. Además, utiliza el algoritmo de cifrado Tiny Encryption Algorithm (TEA) para cifrar las comunicaciones C2, de manera similar a su versión para Windows y cuenta con medidas de evasión de herramientas de monitoreo y depuración.
Los expertos de Kaspersky aseguran que el objetivo principal de DinodasRAT es obtener y mantener el acceso a servidores Linux en lugar de realizar acciones de reconocimiento. Este malware es completamente funcional y permite al atacante tener un control total del dispositivo infectado, lo que facilitaría la extracción de información y espionaje.
Vía The Hacker News
