Mastodon Mastodon Mastodon Mastodon

QuimaRAT: análisis del RAT multiplataforma descubierto por LevelBlue

Foto del autor

CyberSecureFox Editorial Team

Publicado:

Los investigadores de LevelBlue han identificado un nuevo troyano de acceso remoto multiplataforma, QuimaRAT, escrito en Java y dirigido a Windows, Linux y macOS. El malware se distribuye bajo el modelo de «malware como servicio» (MaaS), con precios de suscripción desde 150 dólares al mes hasta 1 200 dólares por acceso ilimitado. QuimaRAT no es un único implante, sino toda una plataforma compuesta por cuatro herramientas con arquitectura modular, sistema de plugins y múltiples mecanismos de persistencia en el sistema. Las organizaciones que utilizan entornos heterogéneos deberían prestar atención a los indicadores de compromiso y actualizar sus reglas de detección.

Arquitectura y características técnicas

Según el análisis de LevelBlue, QuimaRAT está construido como un proyecto Java modular basado en Apache Maven. Su rasgo clave son las bibliotecas integradas Java Native Access (JNA) para Windows, Linux y macOS en distintas arquitecturas de procesador. Estos componentes nativos permiten al troyano interactuar con APIs de sistema operativo de bajo nivel mediante código en C/C++, lo que garantiza un funcionamiento verdaderamente multiplataforma.

La arquitectura modular admite la ampliación dinámica de funcionalidades a través de plugins cifrados, que se entregan, cargan, descargan y actualizan directamente desde la infraestructura de mando y control (C2). Según los investigadores, Quima Control (el componente principal RAT) incluye 74 módulos para Windows y 46 módulos para macOS y Linux.

Antes de ejecutarse, QuimaRAT crea un archivo de bloqueo en el directorio temporal del sistema operativo, evitando así que se inicien varios ejemplares simultáneamente. A continuación, el troyano determina qué sistema operativo está en uso y, en función de ello, selecciona la estrategia de evasión de sandboxes y entornos virtuales, el mecanismo de persistencia y el método de entrega de la carga útil principal.

Mecanismos de persistencia

QuimaRAT utiliza métodos de persistencia específicos para cada sistema operativo:

  • Windows: claves de registro Run, tareas programadas (Scheduled Tasks), carpeta de inicio (Startup)
  • Linux: entradas de autoarranque .desktop, tareas crontab vinculadas al reinicio
  • macOS: archivo plist en LaunchAgent

Además, el troyano incorpora la función Binder: cuando se activa en la configuración, junto con el proceso principal del RAT se ejecuta simultáneamente una carga útil adicional integrada o una aplicación señuelo.

Infraestructura de mando y control y comunicaciones

QuimaRAT establece la comunicación con el servidor C2 a través de TCP y también admite canales alternativos: WebSocket, TLS y HTTPS. Un componente integrado de supervisión (watchdog) controla la actividad del canal de comunicación y restablece automáticamente la conexión si se pierde. Una marca interna de estado de apagado determina si deben continuar las operaciones de reconexión y recuperación tras activarse el modo de desconexión.

Resulta especialmente destacable el mecanismo opcional para actualizar la dirección del servidor C2 mediante Pastebin. Esta función, controlada a través de la configuración, permite al operador cambiar o rotar dinámicamente la infraestructura de mando y control sin necesidad de recompilar y volver a distribuir la carga útil.

Ecosistema de herramientas Quima

QuimaRAT forma parte de un ecosistema más amplio que incluye cuatro herramientas:

  • Quima Control — troyano principal de acceso remoto
  • Quima Builder — constructor modular y kit de ejecución con soporte para los formatos XLL, LNK, VBS, JS, BAT, DOCM, XLSM, MSC, CPL y CHM
  • Quima Loader — servicio de entrega de cargas útiles a través de la caché del navegador con soporte de plantillas de páginas objetivo (falsas comprobaciones CAPTCHA, notificaciones de actualización de software)
  • Quima Dropper — generador de cargas útiles en formatos HTML y SVG

El constructor permite generar archivos de salida en los formatos JAR, EXE, APP, SH, BAT y VBS, adaptando el cliente a distintos entornos y escenarios de entrega. El modelo de precios incluye tarifas intermedias: 300 dólares por tres meses, 500 dólares por seis meses y 700 dólares por un año.

En el sitio de la plataforma se publica un descargo de responsabilidad según el cual las herramientas están destinadas «exclusivamente a investigaciones profesionales de seguridad, pruebas de penetración autorizadas y entornos educativos controlados». Este tipo de cláusulas son habituales entre los vendedores de malware y carecen de fuerza legal.

Capacidades y funcionalidad

Según LevelBlue, QuimaRAT ofrece un amplio conjunto de funcionalidades:

  • Ejecución remota de comandos
  • Entrega remota de cargas útiles y plugins
  • Robo de credenciales
  • Transferencia de archivos
  • Manipulación del portapapeles
  • Vigilancia mediante webcam
  • Ejecución fileless de shellcode en hosts Windows

Los investigadores señalan la presencia de indicadores de ofuscación de tipo ProGuard, realocación de Maven Shade, símbolos de tiempo de ejecución conservados y desencriptadores sintéticos de cadenas. Todo ello indica que QuimaRAT está diseñado para rotar firmas estáticas sin cambiar su comportamiento básico, lo que supone un serio obstáculo para los métodos tradicionales de detección basados en firmas.

Indicadores de compromiso

El hash de una muestra asociada a QuimaRAT está disponible para su verificación en VirusTotal:

  • SHA-256: bb0fbcb1e47ec04aa55555f3769fbc6f09694de1e9baae59260356b26b5af6a7

Evaluación del impacto y recomendaciones

La capacidad multiplataforma de QuimaRAT lo convierte en una amenaza potencialmente peligrosa para organizaciones con infraestructuras heterogéneas, especialmente para aquellas en las que coexisten estaciones de trabajo Windows, servidores Linux y dispositivos Apple. El modelo MaaS reduce la barrera de entrada para los atacantes: incluso operadores con escasas habilidades obtienen acceso a un conjunto de herramientas avanzado.

Debe tenerse en cuenta que algunas afirmaciones sobre las capacidades de QuimaRAT (en particular, su completa invisibilidad frente a antivirus y el bypass de SmartScreen) proceden del material publicitario del vendedor y no han sido confirmadas mediante verificación independiente. La eficacia real en la evasión de la detección puede diferir de lo anunciado.

Para protegerse se recomienda:

  • Añadir el hash indicado a las reglas de detección de EDR y SIEM
  • Monitorizar la creación de archivos de bloqueo en los directorios temporales del sistema operativo junto con conexiones de red a hosts externos inusuales
  • Controlar entradas atípicas de autoarranque: claves de registro Run, archivos .desktop, entradas crontab y LaunchAgent plist
  • Rastrear accesos a Pastebin desde la red corporativa, ya que pueden indicar el uso del mecanismo de actualización del C2
  • Bloquear la ejecución de archivos JAR procedentes de fuentes no verificadas y limitar el uso de Java Runtime Environment en estaciones de trabajo donde no sea necesario
  • Revisar las conexiones TCP salientes, así como el tráfico WebSocket y HTTPS, en busca de patrones anómalos característicos de comunicaciones C2

QuimaRAT es un ejemplo de la tendencia creciente hacia la creación de plataformas maliciosas completas con un modelo de distribución basado en servicios. La acción clave para los equipos de seguridad en este momento es integrar el indicador de compromiso publicado en sus sistemas de detección, reforzar la monitorización de los mecanismos de autoarranque en las tres plataformas y limitar la ejecución no controlada de aplicaciones Java en el entorno corporativo.


CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.