Se ha observado que los actores de amenazas implementan un malware llamado NiceRAT para incorporar dispositivos infectados a una botnet.
Los ataques, dirigidos a usuarios surcoreanos, están diseñados para propagar el malware bajo la apariencia de software crackeado, como Microsoft Windows, o herramientas que pretenden ofrecer verificación de licencia para Microsoft Office.
“Debido a la naturaleza de los programas crack, el intercambio de información entre usuarios comunes contribuye a la distribución del malware independientemente del distribuidor inicial”, dijo el Centro de Inteligencia de Seguridad de AhnLab (ASEC) dicho.
“Debido a que los actores de amenazas normalmente explican formas de eliminar programas antimalware durante la fase de distribución, es difícil detectar el malware distribuido”.
Los vectores de distribución alternativos implican el uso de una botnet compuesta por ordenadores zombies en los que se infiltra un troyano de acceso remoto (RAT) conocido como RATA NanoCorereflejando la actividad anterior que aprovechó la Malware DDoS Nitol por propagar otro malware denominado Amadey Bot.
NiceRAT es un desarrollado activamente RAT de código abierto y malware ladrón escrito en Python que utiliza un Webhook de Discord para comando y control (C2), lo que permite a los actores de amenazas desviar información confidencial del host comprometido.
Lanzado por primera vez el 17 de abril de 2024, la versión actual del programa es 1.1.0. Es también disponible como una versión premium, según su desarrollador, lo que sugiere que se anuncia bajo el modelo de malware como servicio (MaaS).
El desarrollo se produce en medio de la devolver de un botnet de minería de criptomonedas conocido como Bondnet, que se ha detectado utilizando robots mineros de alto rendimiento como servidores C2 desde 2023 mediante la configuración de un proxy inverso utilizando una versión modificada de una herramienta legítima llamada Fast Reverse Proxy (FRP).