Versión de DinodasRAT Linux utilizada en países asiáticos
Los investigadores de seguridad revelaron la aparición de una iteración de Linux de DinodasRAT, un malware de puerta trasera versátil, detectado en regiones salvajes como China, Taiwán, Turquía y Uzbekistán.
DinodasRAT, también conocido como XDealer, opera en C++ y posee la capacidad de extraer un amplio espectro de datos confidenciales de sistemas comprometidos.
En octubre de 2023, los investigadores descubrieron una campaña de ciberespionaje, denominada Operación Jacana, dirigida a una entidad gubernamental en Guyana que utilizaba la versión para Windows de este malware. Los informes más recientes destacan un cambio en la actividad de amenazas hacia DinodasRAT, cuyo nombre en código es Earth Krahang, y se ha dirigido a varios organismos gubernamentales en todo el mundo desde 2023.
DinodasRAT vinculado a APT chinas
Atribuida principalmente a actores de amenazas asociados a China como LuoYu, la variante Linux de DinodasRAT (V10) se detectó por primera vez a principios de octubre de 2023, y las variantes anteriores se remontan a julio de 2021 (V7). En noviembre de 2023 se identificó una versión más nueva (V11).
Diseñado principalmente para distribuciones basadas en Red Hat y Ubuntu Linux, tras la ejecución, DinodasRAT establece persistencia a través de scripts de inicio SystemV o SystemD, comunicándose con un servidor remoto a través de TCP o UDP para la recuperación de comandos.
Esta puerta trasera está equipada para realizar operaciones de archivos, alterar direcciones de comando y control, administrar procesos en ejecución, ejecutar comandos de shell, actualizarse y autodestruirse. Emplea tácticas para evadir la detección, incluido el cifrado de comunicaciones C2 mediante el algoritmo de cifrado diminuto (TEA).
Los investigadores señalan que DinodasRAT se centra en obtener y retener el acceso a servidores Linux en lugar de realizar reconocimientos, lo que facilita un control total de la filtración de datos y el espionaje.
El análisis de Check Point revela los orígenes de DinodasRAT en el proyecto de código abierto SimpleRemoter, que evolucionó a partir de Gh0st RAT. La variante de Linux, llamada Linodas, presenta capacidades como monitoreo del sistema multiproceso, módulos auxiliares para interferir con los binarios del sistema y un módulo de filtro que actúa como proxy para controlar la salida de los binarios originales para evadir la detección y recopilar información de los hosts.