El equipo de investigación de ESET Latinoamérica identificó una campaña de phishing que emplea documentos PDF maliciosos para propagar Ratty, un troyano de acceso remoto (RAT) con múltiples capacidades de control y exfiltración. Según el informe de la compañía, la operación está dirigida principalmente a usuarios de habla hispana en la región y recurre a servicios de alojamiento en la nube —como Google Drive, Dropbox y Mediafire— para distribuir el código malicioso.
La cadena de infección, según el análisis de ESET, comienza con un correo que incluye un adjunto llamado Factura.pdf. Al abrirlo, la víctima es inducida a descargar un archivo HTML (por ejemplo FACTURA-243240011909044.html), que a su vez descarga un script VBS (FA-45-04-25.vbs). Ese script facilita la obtención de un archivo comprimido (InvoiceXpress.zip) que contiene un ejecutable (.cmd) encargado de lanzar InvoiceXpress.jar, identificado como la muestra del RAT Ratty, que luego establece comunicación con un servidor de comando y control (C2).
ESET detalla varias de las funcionalidades que convierten a Ratty en una amenaza relevante: captura de pantalla, control de cámara y micrófono, keylogging, navegación por archivos, ejecución remota de comandos, persistencia en Windows y transferencia/exfiltración de archivos. En palabras de Fabiana Ramírez Cuenca, investigadora de seguridad informática de ESET Latinoamérica: "Este RAT escrito en Java aunque no es habitual en la región latinoamericana está siendo utilizado en campañas maliciosas debido a la gran cantidad de funcionalidades con las que cuenta. Entre sus capacidades más relevantes se destaca la recolección de información mediante keylogging, capturas de pantalla y grabación de audio, entre otros, así como la exfiltración de datos, conexión C2 y persistencia."
El informe técnico también identifica patrones operativos: Ratty intenta comunicarse con su servidor C2 mediante infraestructura alojada en EQUINIX-CONNECT-EMEAGB sobre el puerto TCP 8911, y utiliza módulos denominados PacketLogin, PacketKeepAlive y PacketDisconnect para gestionar autenticaciones y mantener la conexión. Además, dispone de paquetes para bloquear la pantalla y evitar la interacción del usuario mientras realiza actividades maliciosas.
ESET advierte que la persistencia se logra copiando componentes dentro del sistema Windows y disfrazándolos como archivos PNG, además de crear una clave de registro (AutorunKey) que asegura el arranque automático del malware. La combinación de técnicas —uso de servicios en la nube, HTML/VBS como droppers y empaquetamiento en ZIP— facilita la evasión y la propagación masiva entre usuarios desprevenidos.
Frente a esta amenaza, las recomendaciones prácticas que destacan desde ESET son las habituales ante campañas basadas en ingeniería social: no abrir adjuntos sospechosos ni ejecutar archivos descargados desde enlaces no verificados, verificar la fuente del correo, desactivar la ejecución automática de scripts, mantener el sistema operativo y el software de seguridad actualizados y aplicar políticas de bloqueo de ejecución de archivos con extensiones potencialmente peligrosas. Asimismo, las organizaciones deberían monitorizar conexiones salientes inusuales (por ejemplo, intentos al puerto 8911) y aislar equipos ante detección de comportamiento anómalo.
La compañía publicó los detalles técnicos y los indicadores asociados en su blog de investigación, y recomienda a usuarios y departamentos de seguridad revisar los correos transaccionales que simulan facturas o notificaciones financieras. Dada la complejidad de las cadenas de infección (HTML → VBS → ZIP → JAR) y las capacidades del RAT, ESET subraya la importancia de la concientización del usuario como primera línea de defensa.