Se caracteriza por el uso de la técnica de carga lateral de DLL para iniciar el proceso
Investigadores de ciberseguridad han descubierto un nuevo y sofisticado troyano de acceso remoto llamado ResolverRAT que se ha observado en ataques dirigidos a los sectores sanitario y farmacéutico.
"El actor de amenazas utiliza señuelos basados en el miedo enviados a través de correos electrónicos de phishing, diseñados para presionar a los destinatarios a hacer clic en un enlace malicioso", dijo en un informe el investigador de Morphisec Labs, Nadav Lorber. "Una vez accedido, el enlace dirige al usuario a descargar y abrir un archivo que activa la cadena de ejecución de ResolverRAT".
La actividad, observada tan recientemente como el 10 de marzo de 2025, comparte infraestructura y superposición de mecanismos de entrega con campañas de phishing que han distribuido malware ladrón de información como Lumma y Rhadamanthys, como lo documentaron el año pasado Cisco Talos y Check Point.
Un notable aspecto de la campaña es el uso de señuelos de phishing localizados, con correos electrónicos redactados en los idiomas predominantemente hablados en los países objetivo. Esto incluye hindi, italiano, checo, turco, portugués e indonesio, lo que indica los intentos del actor de amenazas de lanzar una red amplia a través de ataques específicos a regiones y maximizar las tasas de infección.
El contenido textual de los mensajes de correo electrónico emplea temas relacionados con investigaciones legales o violaciones de derechos de autor que buscan inducir una falsa sensación de urgencia y aumentar la probabilidad de interacción del usuario.
La cadena de infección se caracteriza por el uso de la técnica de carga lateral de DLL para iniciar el proceso. La primera etapa consiste en un cargador en memoria que descifra y ejecuta la carga útil principal, a la vez que incorpora una serie de trucos para pasar desapercibido. La carga útil de ResolverRAT no solo utiliza cifrado y compresión, sino que también existe solo en la memoria una vez que se decodifica.
"La secuencia de inicialización del ResolverRAT revela un sofisticado proceso de arranque de múltiples etapas diseñado para el sigilo y la resiliencia", dijo Lorber, y agregó que "implementa múltiples métodos de persistencia redundantes" por medio del Registro de Windows y en el sistema de archivos instalándose en diferentes ubicaciones como mecanismo de respaldo.
Una vez lanzado, el malware utiliza una autenticación basada en certificado personalizado antes de establecer contacto con un servidor de comando y control (C2) de manera tal que evita las autoridades raíz de la máquina. También implementa un sistema de rotación de IP para conectarse a un servidor C2 alternativo si el servidor C2 principal deja de estar disponible o se cae.
Además, ResolverRAT está equipado con capacidades para eludir los esfuerzos de detección a través de la fijación de certificados, la ofuscación del código fuente y patrones de señalización irregulares al servidor C2.
"Esta avanzada infraestructura C2 demuestra las capacidades avanzadas del actor de amenazas, combinando comunicaciones seguras, mecanismos de respaldo y técnicas de evasión diseñadas para mantener un acceso persistente mientras evaden la detección de los sistemas de monitoreo de seguridad", afirmó Morphisec.
El objetivo final del malware es procesar comandos emitidos por el servidor C2 y filtrar las respuestas, dividiendo los datos de más de 1 MB en fragmentos de 16 KB para minimizar las posibilidades de detección.
La campaña aún no ha sido atribuida a un grupo o país específico, aunque las similitudes en los temas de los señuelos y el uso de carga lateral de DLL con ataques de phishing observados anteriormente aluden a una posible conexión.
"La alineación [...] indica una posible superposición en la infraestructura o los manuales operativos de los actores de amenazas, lo que podría indicar un modelo de afiliación compartido o una actividad coordinada entre grupos de amenazas relacionados", afirmó la compañía.
