El objetivo son las redes corporativas de los países latinoamericanos de habla hispana

Tras su análisis del malware Poco RAT, los expertos del equipo de Inteligencia de Amenazas de Positive Technologies en PT Expert Security Center (PT ESC) descubrieron que el grupo cibercriminal Dark Caracal, activo desde 2012, había actualizado sus herramientas y tácticas de ataque. Anteriormente, la puerta trasera no se atribuía a ningún grupo conocido. Sin embargo, análisis posteriores permitieron a los expertos vincular los ataques a Dark Caracal.

A lo largo de 2024, los sistemas internos de ciberinteligencia de PT Expert Security Center registraron una campaña en la que se utilizaba Poco RAT, una puerta trasera que permite a los hackers obtener el control remoto del dispositivo de la víctima. Los ataques iban dirigidos a usuarios hispanohablantes, como demuestran el idioma de los correos electrónicos de phishing y el contenido de los archivos adjuntos maliciosos. Los principales países desde los que los hackers subieron muestras de malware a sandboxes públicos fueron Chile, Colombia, República Dominicana y Venezuela. 

Una víctima recibió un correo electrónico recordándole que debía pagar una factura. El correo electrónico incluía un archivo adjunto que contenía un documento señuelo, con su nombre disfrazado para simular una relación financiera entre la víctima y una organización legítima. Estos archivos señuelo no eran detectados por el software antivirus y tenían un aspecto borroso (difuso), lo que incitaba a los usuarios inexpertos a abrir el documento, tras lo cual se descargaba automáticamente un archivo .rev. Este contenía un dropper¹ cuyo nombre coincidía con el del documento señuelo, lo que reforzaba aún más la confianza de la víctima. La principal tarea del dropper era preparar y lanzar Poco RAT sin dejar rastros en el disco. 

Dark Caracal piratea estructuras gubernamentales y militares, a activistas, periodistas y organizaciones comerciales por encargo. Su principal herramienta para llevar a cabo los ataques es el troyano de acceso remoto Bandook, un malware utilizado exclusivamente por el grupo. 

Curiosamente, la distribución de muestras de Bandook se detuvo exactamente cuando los especialistas del PT ESC empezaron a detectar muestras de Poco RAT. Poco RAT tiene similitudes funcionales con Bandook y utiliza una infraestructura de red similar. 

Denis Kazakov, especialista en inteligencia de ciberseguridad del equipo de TI de PT ESC, explicó: "Creemos que esta campaña es una continuación de las actividades de Dark Caracal y refleja sus esfuerzos por adaptarse a las medidas de seguridad modernas. En los últimos ocho meses (desde junio de 2024), se han identificado 483 muestras maliciosas de Poco RAT, significativamente más que las 355 muestras de Bandook detectadas entre febrero de 2023 y septiembre de 2024. Este aumento puede sugerir un cambio en las tácticas del grupo y una transición a los correos masivos utilizando una nueva herramienta".

Los sandboxes, las herramientas de seguridad de puntos de conexión como MaxPatrol EDR y la capacitación de los empleados sobre prácticas de correo electrónico seguras y técnicas de ingeniería social ayudan a las empresas a detectar y responder a las ciberamenazas de manera oportuna. El servicio en línea PT Knockin puede verificar de manera proactiva si las herramientas de seguridad del correo electrónico corporativo pueden manejar ataques que involucren a Poco RAT.