A principios de mayo de 2025, los investigadores de ciberseguridad comenzaron a rastrear un nuevo troyano de acceso remoto (rata) dirigido a usuarios de habla china a través de sitios de phishing alojados en páginas GitHub.
Enmascarados como instaladores legítimos para aplicaciones populares, los archivos de ZIP iniciales contenían ejecutables maliciosos diseñados para evitar las defensas de Sandbox y virtuales.
Una vez ejecutado, el shellcode de la primera etapa realiza un análisis de estabilidad de tiempo utilizando QueryperformanceCounter y examina las configuraciones de hardware (espacio de disco y núcleos de CPU) para identificar entornos de análisis y terminar si surgen sospechas.
Cadena de ataque (Fuente – ZScaler)
Esta estrategia de evasión meticulosa asegura que Kkrat rara vez desencadena alertas durante la detonación automatizada.
En las siguientes etapas, Kkrat despliega técnicas avanzadas contra el análisis, resolviendo dinámicamente las funciones de API de Windows a través de la ofuscación XOR de un solo byte y descifrando los códigos de shells posteriores con transformaciones XOR simples.
En la segunda etapa, el malware descarga y deshabilita los adaptadores de red para separar las comunicaciones AV/EDR, enumera los procesos asociados con los proveedores de seguridad chinos y emplea a un controlador vulnerable (RTCore64.Sys) para eliminar las devoluciones de llamada registradas de los defensas de modo de kernel.
Analistas de ZSCaler anotado que KKRAT incluso altera los valores de registro para 360 seguridad total para deshabilitar las verificaciones de red y programar tareas bajo privilegios del sistema para matar repetidamente los procesos de protección al inicio de sesión del usuario.
En la tercera etapa, Kkrat recupera un shellcode muy ofuscado llamado 2025.Bin de URL codificadas, decodifica instrucciones codificadas en base64 en la salida.
Los archivos extraídos contienen ejecutables legítimos latidos con DLL maliciosas que descifraron la carga útil final, KKRAT en sí, utilizando una clave XOR de seis bytes en el desplazamiento 0xd3000.
Los investigadores de ZScaler identificaron este uso sin problemas de la respuesta lateral para desplegar múltiples variantes de ratas, incluidos Valleyrat y Fatalrat, pero las características combinadas de Kkrat recientemente descubiertas de Ghost Rat y Big Bad Wolf.
En su operación, KKRAT establece una conexión TCP a su servidor de comando y control, comprime los datos a través de ZLIB y aplica una capa de cifrado adicional basada en XOR.
Página de phishing que se hace pasar por Ding Talk (Fuente – ZScaler)
Un fragmento de pitón de muestra utilizado para descifrar el tráfico capturado demuestra este proceso de dos fases:–
importar zlib def descrypt_packet (datos, clave): compressed = bytes (B ^ clave para b en datos) return zlib.Decompress (comprimido)
Mecanismo de infección
Tras la ejecución de la DLL sidelada, Kkrat lee su configuración cifrada (IP, puerto, versión e identificador de grupo C2, y construye una estructura de registro que contiene huellas dactilares de dispositivos detalladas, como la versión del sistema operativo, la frecuencia de la CPU, el tamaño de la memoria, las firmas de antivirus instaladas y la presencia de las aplicaciones de mensajería.
Este perfil exhaustivo permite a los atacantes priorizar objetivos de alto valor. Excepcionalmente, Kkrat inspecciona el portapapeles para direcciones de billetera de criptomonedas (bitcoin, ethereum, ate) y las reemplaza con direcciones controladas por atacantes a través del comando 0x4d, una táctica diseñada para secuestrar las transacciones en silencio.
Una vez que la persistencia se establece a través de accesos directos de la carpeta de inicio o claves de ejecución del registro, Kkrat sigue siendo residente, esperando más instrucciones para cargar complementos, que se extienden desde la administración remota de escritorio hasta la terminación de procesos, y el tráfico de red de transmisión a través de proxies de calcetines5 basados en GO.
A través de su cifrado en capas, las sofisticadas controles contra el análisis y las capacidades de robo financiero, Kkrat representa una evolución significativa en los kits de herramientas de ratas de productos básicos, lo que subraya la amenaza persistente de la entrega de malware de estilo de cadena de suministro.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
