Noodle RAT: un backdoor chino único dirigido a Linux y Windows

Los investigadores de seguridad de la empresa Trend Micro recientemente descubrieron un nuevo tipo de malware llamado «Noodle RAT» que ha sido utilizado activamente por grupos de piratas informáticos de habla china para atacar sistemas Windows y Linux.

Aunque este malware ha estado activo desde al menos 2016, solo recientemente fue clasificado adecuadamente, arrojando luz sobre su amplio uso tanto en el ciberespionaje como en la ciberdelincuencia.

El malware Noodle RAT, también conocido como ANGRYREBEL o Nood RAT, es un backdoor que tiene versiones tanto para Windows (Win.NOODLERAT) como para Linux (Linux.NOODLERAT).

Según los investigadores, a pesar de su larga trayectoria, Noodle RAT a menudo fue clasificado erróneamente como variantes de otros malwares, como Gh0st RAT o Rekoobe. Sin embargo, investigaciones recientes confirmaron que Noodle RAT es una familia de malware separada.

La versión de Windows de Noodle RAT es un backdoor modular que se ejecuta a través de un cargador e incluye comandos para cargar/descargar archivos, ejecutar otros tipos de malware, actuar como proxy TCP y autodestruirse. Algunos de los grupos que lo utilizan son Iron Tiger y Calypso. Dos tipos de cargadores, MULTIDROP y MICROLOAD, se han visto en ataques contra Tailandia e India.

La versión de Linux de Noodle RAT es utilizada por grupos ciberdelictivos y de espionaje vinculados a China, incluyendo Rocke y Cloud Snooper. Esta versión tiene funciones de shell reversa, carga/descarga de archivos, programación de tareas y tunelización SOCKS. Los ataques a servidores Linux suelen aprovechar vulnerabilidades conocidas en aplicaciones públicas para implementar webhells y entregar el malware.

Ambas versiones del malware tienen un código idéntico para las comunicaciones de comando y control, y utilizan formatos de configuración similares. Aunque Noodle RAT utiliza diferentes complementos de Gh0st RAT y partes del código de Rekoobe, el propio backdoor es completamente independiente.

Los expertos de Trend Micro lograron acceder al panel de control y al constructor del malware para la versión de Linux de Noodle RAT. Las notas sobre correcciones y mejoras en chino simplificado indican que el malware se está desarrollando y vendiendo activamente a clientes interesados.

Recientes filtraciones de datos de I-Soon revelaron una extensa escena de piratería corporativa por encargo en China, respaldando la hipótesis de una compleja cadena de suministro en el ecosistema de ciberespionaje chino.

El investigador Hara Hiroaki señala que Noodle RAT ha sido infravalorado y mal clasificado durante mucho tiempo, lo cual finalmente se ha corregido gracias a los esfuerzos de los ciberexpertos de Trend Micro.