Investigadores de Kaspersky descubrieron un nuevo troyano de acceso remoto (RAT), denominado GodRAT, que se distribuye principalmente a través de archivos de protector de pantalla maliciosos presentados como documentos financieros.
Estos archivos se enviaban por Skype hasta marzo de 2025, cuando los atacantes comenzaron a utilizar otros medios de propagación.
Las Pequeñas y Medianas Empresas (PyMEs) de diversos países, especialmente Emiratos Árabes Unidos, Hong Kong, Jordania y Líbano, fueron las más afectadas por esta campaña cibernética.
Este malware utilizó técnicas sofisticadas para evitar ser detectado, escondiéndose dentro de archivos de imagen que aparentaban contener datos financieros legítimos.
Una vez que la víctima abría el archivo, el malware se conectaba a un servidor remoto para descargar GodRAT y comenzaba a recopilar información básica del equipo afectado como:
- el sistema operativo
- el nombre del ordenador
- la lista de programas instalados
- el usuario activo
- la presencia de software de seguridad
GodRAT, el RAT detrás del ataque a PyMEs
El hallazgo clave de este troyano ocurrió en julio de 2024, cuando se detectó el código fuente de un cliente GodRAT tras ser subido a un escáner de malware en línea muy utilizado.
Este troyano permite a los atacantes obtener control remoto y también es compatible con plugins adicionales que amplían sus capacidades maliciosas.
Entre ellos, se emplea un plugin llamado FileManager que facilita la exploración de los sistemas infectados y la extracción de datos.
Además, GodRAT incorpora herramientas diseñadas para robar contraseñas almacenadas en los navegadores web Chrome y Microsoft Edge.
Como estrategia para mantener el acceso prolongado a los sistemas comprometidos, los atacantes también despliegan otro implante secundario llamado AsyncRAT.
Características y evolución del malware GodRAT
Lisandro Ubiedo, analista senior de seguridad de Kaspersky Latinoamérica, resaltó que GodRAT podría tratarse de una evolución de otro malware conocido como AwesomePuppet, vinculado a un grupo APT denominado Winnti.
El análisis del malware reveló similitudes en los parámetros de línea de comandos, fragmentos de código y una firma digital distintiva que relacionan GodRAT con el ya clásico Gh0st RAT.
Este último, a pesar de contar con casi dos décadas en el panorama de amenazas, sigue siendo base para múltiples ataques debido a que su código fuente es frecuentemente modificado y adaptado por actores maliciosos.
El descubrimiento de GodRAT pone en evidencia cómo herramientas antiguas siguen siendo relevantes y peligrosas en la actualidad, contribuyendo a la sofisticación y persistencia de los ciberataques.
La campaña actual ha impactado fuertemente a las PyMEs, subrayando la necesidad de incrementar las defensas en estos entornos más vulnerables.
Recomendaciones para protegerse contra GodRAT y otros RATs
Para evitar ser víctimas de GodRAT y otros troyanos similares, Kaspersky recomendó mantener el sistema operativo, navegadores, antivirus y otros programas siempre actualizados, ya que los atacantes aprovechan vulnerabilidades conocidas para infectar los dispositivos.
También aconsejó activar la opción "Mostrar extensiones de archivo" en Windows, algo que facilita identificar y evitar archivos maliciosos con extensiones como: .exe, .vbs y .scr que suelen utilizar estos troyanos.
Es importante estar atentos porque los atacantes suelen disfrazar archivos maliciosos con nombres engañosos que aparentan ser documentos o videos, por ejemplo "hot-chics.avi.exe".
Finalmente, para empresas, utilizar soluciones de seguridad avanzada como Kaspersky Next es esencial para contar con protección en tiempo real, visibilidad de amenazas y capacidades de investigación y respuesta ante incidentes (EDR y XDR).
Estas herramientas están diseñadas para proteger organizaciones de cualquier tamaño frente a amenazas sofisticadas.
Impacto global y desafíos para las PyMEs frente a GodRAT
Las PyMEs de países como Emiratos Árabes Unidos, Hong Kong, Jordania y Líbano fueron víctimas frecuentes de GodRAT, al evidenciar la creciente amenaza que representan estos ataques dirigidos.
La preferencia de los atacantes por vías como Skype y archivos camuflados con información financiera incrementa la dificultad para detectarlos a tiempo.
El uso del troyano GodRAT y del implante secundario AsyncRAT indicó una campaña bien planificada que busca la máxima persistencia y recolección de información.
El panorama actual de ciberseguridad demuestra que incluso herramientas antiguas y conocidas pueden ser reutilizadas y aggiornadas con técnicas modernas para afectar sectores sensibles.
En este contexto, la concientización y la adopción de tecnologías robustas son imprescindibles para limitar el impacto de estas amenazas y proteger la continuidad operativa.
La detección temprana y respuesta ante incidentes son vitales para mitigar los daños.
