Il trojan HiatusRAT, dopo una lunga pausa, è tornato con una nuova e temibile campagna malware.
Stiamo parlando, almeno al momento, di un’ondata di attività considerata come “ricognizione” in cui i target principali sono organizzazioni con sede a Taiwan e alcuni punti del sistema di approvvigionamento militare americano.
Sebbene al momento il malware si sta concentrando su queste due nazioni, non è detto che in futuro HiatusRAT possa virare le proprie attività verso altri territori, incluso quello europeo.
Secondo la società di sicurezza informatica Lumen Black Lotus Labs, in un rapporto pubblicato la scorsa settimana, si tratta di una delle azioni “più audaci” per malware di questo tipo, con tutti i segnali che sembrano confermare come le attività di tale RAT non siano destinate a diminuire nelle prossime settimane.
Secondo gli esperti, la massiccia campagna sfrutta alcuni servizi di server privati virtuali (VPS) durante il suo lavoro di diffusione malware. L’identità dei cybercriminali dietro tale azione, al momento, sono ancora sconosciute.
HiatusRAT, una delle campagne malware “più audaci” degli ultimi tempi
Gli obiettivi di HiatusRAT sono stati, finora, attività produttive o commerciali (soprattutto produttori di semiconduttori e prodotti chimici) oltre ad almeno un’organizzazione del governo municipale di Taiwan, nonché un server del Dipartimento della Difesa degli Stati Uniti.
L’ultima serie di attacchi, osservata da metà giugno ad agosto 2023, comporta l’uso di binari HiatusRAT predefiniti, progettati specificamente per le architetture ARM, Intel 80386 e x86-64 così come MIPS, MIPS64 e i386.
Un’analisi telemetrica per determinare le connessioni effettuate al server che ospita il malware ha rivelato che “oltre il 91% delle connessioni in entrata proveniva da Taiwan e sembrava esserci una preferenza per i dispositivi edge prodotti da Ruckus“.
Sebbene il pericolo sia attualmente distante dai nostri territori, il consiglio è quello di mantenere sempre alta l’allerta. In tal senso, oltre all’adozione di un antivirus di alto livello, è bene evitare e-mail sospette, relativi allegati o link che possono direzionare l’utente verso siti potenzialmente dannosi.