El nuevo malware HiatusRAT se dirige a los enrutadores de nivel empresarial para espiar encubiertamente a las víctimas
La escurridiza campaña, apodada Hiato por Lumen Black Lotus Labs, se ha descubierto que distribuye dos binarios maliciosos, un troyano de acceso remoto denominado HiatusRAT y una variante de tcpdump lo que hace posible capturar la captura de paquetes en el dispositivo de destino.
“Una vez que un sistema objetivo está infectado, HiatusRAT permite que el actor de amenazas interactúe de forma remota con el sistema y use la funcionalidad predefinida […] para convertir la máquina comprometida en un proxy oculto para el actor de amenazas», la compañía Ella dijo en un informe compartido con The Hacker News.
«El binario de captura de paquetes permite al actor monitorear el tráfico del enrutador en los puertos asociados con las comunicaciones de transferencia de archivos y correo electrónico».
Dado que los dispositivos afectados son enrutadores de gran ancho de banda capaces de admitir cientos de conexiones VPN simultáneamente, se sospecha que el objetivo es espiar a los objetivos y establecer una red proxy invisible.