En agosto de 2025, se ha descubierto un nuevo troyano de acceso remoto —GodRAT— diseñado específicamente para atacar al sector financiero.
Esta amenaza sofisticada aprovecha técnicas avanzadas como steganografía y exploits heredados, lo que lo sitúa como una evolución significativa de amenazas previas como Gh0st RAT y AwesomePuppet.
¿Qué es GodRAT y cómo se detectó?
GodRAT fue identificado por Kaspersky GReAT como un nuevo Remote Access Trojan distribuido principalmente mediante archivos .SCR (salvapantallas) disfrazados de documentos financieros enviados vía Skype messenger.
El análisis técnico reveló que el malware utiliza técnicas de esteganografía, ocultando shellcode dentro de imágenes que luego descargan la carga útil desde servidores de comando y control (C2).
Historia y alcance de la campaña
Los primeros indicios del uso de GodRAT datan de septiembre de 2024 en Hong Kong, pero la actividad se ha extendido desde entonces a otros territorios, como Emiratos Árabes Unidos, Líbano, Malasia y Jordania.
Según los reportes, los ataques continuaron activos al menos hasta el 12 de agosto de 2025.
Aspectos técnicos: Evolución de Gh0st RAT y relación con AwesomePuppet
GodRAT está claramente construido sobre la base de Gh0st RAT, un backdoor cuyo código fuente fue filtrado en 2008, adoptado luego por grupos como el famoso APT41 (Winnti).
Las similitudes con AwesomePuppet RAT (detectado en 2023) son evidentes, lo que sugiere que GodRAT es su evolución mejorada.
Mecanismo de infección y persistencia
El archivo inocente (extensión .SCR o .PIF) contiene steganografía que invoca el shellcode. Este descifra la configuración (C2, puertos, comandos), establece comunicación con el C2, descarga un segundo shellcode que incluye un DLL en UPX, lo inyecta en memoria y ejecuta su función principal llamada run.
Dentro de esta rutina, se verifica la bandera -Puppet. Si no está presente, el ejecutable copia un proceso legítimo (como curl.exe -Puppet o cmd.exe -Puppet), inyecta el shellcode en ese proceso y lo ejecuta — estrategia presente en AwesomePuppet pero refinada en GodRAT.
Capacidades y plugins
GodRAT recoge información del sistema (SO, antivirus, nombre de usuario, procesos, etc.), la comprime (zlib), la encripta (XOR en varias rondas), y la envía al C2.
Soporta comandos como:
– Inyección y ejecución de plugins DLL (ej. FileManager).
– Cierre del proceso RAT, descarga y ejecución de archivos, apertura de URLs.
– Creación de archivos de configuración (config.ini).
El plugin FileManager incluso parchea funciones de seguridad de Windows (AMSI, ETW) para facilitar la inyección de AsyncRAT.
Impacto y conclusiones
GodRAT demuestra que incluso código antiguo como Gh0st RAT sigue siendo relevante y adaptable en manos de actores avanzados.
Su capacidad para evadir detección mediante archivos aparentemente inofensivos, combinado con la arquitectura modular, lo hace una amenaza sofisticada que exige alertas reforzadas especialmente para instituciones financieras.
Recomendaciones de defensa
1. Capacitación del personal: Evitar descargar o ejecutar archivos .scr, .pif, .exe, aunque aparenten ser documentos.
2. Habilitar extensión de archivos en Windows para identificar posibles engaños. Ver Video
3. Escaneo de IoCs y monitorización de tráfico hacia servidores C2 conocidos.
4. Uso de EDR/antimalware que monitorice comportamiento sospechoso y parches de funciones AMSI/ETW.
5. Segmentación y limitación de privilegios en sistemas críticos.
Fuentes: kaspersky | securelist
