Se ha observado que un nuevo troyano de acceso remoto (RAT), denominado «ResolverRAT», ataca a organizaciones de los sectores sanitario y farmacéutico.

Descubierto por Morphisec Threat Labs, el malware combina una ejecución avanzada en memoria con técnicas de evasión por capas, lo que dificulta especialmente su detección y análisis.

A diferencia de familias de malware conocidas anteriormente, como Rhadamanthys o Lumma, ResolverRAT introduce una arquitectura única de cargador y carga útil. A pesar de reutilizar algunos binarios e infraestructura de phishing observada en campañas anteriores, sus componentes internos y métodos de implementación parecen ser originales.

El troyano utiliza tácticas de ingeniería social para obtener acceso inicial. En los ataques observados hasta la fecha, empleados de varios países recibieron correos electrónicos de phishing redactados en idiomas locales, relacionados con violaciones de derechos de autor o consultas legales.

Según Morphisec, esta localización sugiere una operación coordinada a nivel global destinada a maximizar las tasas de infección mediante la adaptación cultural.
ResolverRAT se distribuye mediante la carga lateral de DLL, explotando ejecutables firmados pero vulnerables, como hpreader.exe (anteriormente utilizado como cargador para Rhadamanthys).

Una vez cargado, el malware ejecuta una carga útil residente en memoria protegida por cifrado AES-256 y comprimida mediante GZip.

La carga útil se ve aún más oculta por:

• Ofuscación de cadenas mediante identificadores numéricos y recursos incrustados cifrados.
• Una compleja máquina de estados de descifrado con cientos de transiciones.
• Carga de DLL reflectante para evitar la detección.
  

El malware también registra un controlador .NET personalizado para secuestrar la resolución de recursos, evadiendo la monitorización tradicional y dificultando su detección con herramientas estándar.
ResolverRAT mantiene el acceso mediante múltiples métodos de persistencia, incluyendo cambios en el registro y la ubicación de archivos en directorios de usuario. Implementa un sistema de respaldo que reintenta métodos alternativos si uno falla.

Sus comunicaciones de comando y control (C2) están protegidas mediante un proceso de validación de certificados personalizado que elude las autoridades raíz estándar. La rotación de IP ofuscada y los protocolos personalizados que se ejecutan en puertos estándar le permiten integrarse en el tráfico de red normal.

La exfiltración de datos se gestiona mediante transferencias fragmentadas, lo que minimiza el riesgo de detección. El malware utiliza procesamiento de comandos multihilo con gestión de errores resiliente para evitar fallos o interrupciones.

Los investigadores señalan que la sofisticación de ResolverRAT apunta a un actor de amenazas que opera a un alto nivel técnico.

Para protegerse contra amenazas como esta, los expertos en seguridad recomiendan capacitar a los usuarios sobre phishing, implementar protección de endpoints basada en el comportamiento y auditar periódicamente los sistemas para detectar actividad inusual en la memoria y mecanismos de persistencia no autorizados.