‘Noodle Rat’, lo que sabemos del nuevo malware que ataca a Windows y Linux

Un grupo japonés de especialistas ha identificado un nuevo virus usado en espionaje y ligado a grupos de ciberdelincuencia chinos, que afecta a sistemas operativos Windows y Linux.

Expertos en ciberseguridad de la firma japonesa Trend Micro, han identificado una nueva variante de malware que llevan investigando desde 2022. En un nuevo post, explican las características de este virus que han llamado «Noodle RAT», y que definen como una puerta trasera que «representa una nueva categoría de malware, en lugar de simplemente una variante de las amenazas existentes».

Según Trend Micro, este malware provendría de Gh0st Rat, un virus aparecido en 2008, y que se ha asociado a grupos chinos que lo han usado en diversas campañas. «Desde 2018, se han publicado varios informes sobre ataques que involucran a Noodle RAT, pero en aquel entonces, esta puerta trasera ELF se identificó inadvertidamente como diferentes familias de malware», explican.

La variante de Noodle RAT en Windows funciona como una puerta trasera modular en memoria, que se activa mediante un cargador (loader) y permite realizar varios cambios sobre el dispositivo: permitir funcionalidades como descargas de archivos, desplegar malware, proxy TCP o autoeliminación. Algunos loaders usados por este virus han sido localizados en campañas desarrolladas en Tailandia, India, Taiwán, Japón y Malasia.

En cuanto a la variante para sistemas Linux, hay grupos chinos de cibercrimen y espionaje relacionados directamente con Noodle RAT. La versión del malware para este SO admite shells inversos, transferencias de archivos, programación de tareas y túneles SOCKS. Los ataques consiguen explotar vulnerabilidades para acceder a servidores de Linux, consiguiendo acceso remoto y permitiendo la introducción del malware.

Enlaces con China

Según Hara Hiroaki, especialista tecnológico de Trend Micro, «es probable que Noodle RAT se comparta o venda entre grupos de habla china», y pese a que lleva usándose varios años, no había sido realmente clasificado hasta hace poco. Ha sido usado principalmente en cibercrimen y espionaje, orientada tanto a entidades privadas como gubernamentales.

En malware comparte muchas similitudes con Gh0st RAT y Rekoobe, y al haber descubierto un panel de control y builder de Noodle RAT, es posible que exista un posible ecosistema de malware.

Con todo ello, desde Trend Micro informan de que han confirmado «que algunas muestras de Noodle RAT se cargaron en Virus Total en 2024, lo que significa que es muy probable que el malware todavía esté en uso. Teniendo en cuenta el aumento de la explotación de aplicaciones públicas en los últimos años, el malware dirigido a sistemas Linux/Unix se está volviendo más esencial para los atacantes. Podría sugerir que Noodle RAT podría seguir siendo una opción atractiva para los ataques de los actores de amenazas».

Así, se entiende que este malware se encuentra activo y en desarrollo, dado que el código encontrado muestra trabajo reciente para mejorar el código reparando algunos bugs.

Aunque no proveen mucha información sobre desde qué vías es posible que se comparta el virus, se sobreentiende que se trata de un malware dirigido a entidades concretas, más que al público en general.

Fuente: The Security Pivot | adslzone