Ragnatela RAT

Le Ragnatela RAT est un nouveau cheval de Troie d'accès à distance doté de fonctionnalités avancées. Après avoir analysé la menace, les chercheurs d'infosec ont déterminé qu'il s'agissait d'une nouvelle variante basée sur le BADNEWS RAT précédemment connu. Ragnatela est équipé d'une large gamme de capacités intrusives permettant aux attaquants d'exécuter à la fois des plans de cyber-espionnage ou d'intensifier l'attaque en fonction de leurs objectifs actuels. En tant que tel, le RAT peut établir des routines d'enregistrement de frappe et de capture d'écran, exécuter des commandes arbitraires sur le système, cibler des fichiers choisis et les transmettre aux attaquants, récupérer et lancer des charges utiles menaçantes supplémentaires, etc.

Ragnatela et Patchwork

Le Ragnatela RAT est attribué et observé dans le cadre des opérations d'attaque menées par le groupe APT établi PatchWork. La menace a été cachée et déployée par le biais de documents RTF armés qui ont agi comme un leurre pour les victimes ciblées en se faisant passer pour des associés aux autorités pakistanaises.

On pense que les pirates de PatchWork ont des liens avec l'Inde et sont généralement impliqués dans des opérations de vol de données et de cyber-espionnage. La communauté infosec suit également ce groupe sous les noms de Dropping Elephant, Chinastrats ou Quilted Tiger. Leur campagne a eu lieu entre novembre et décembre 2021 et a été découverte par les experts de l'infosec uniquement à cause du Ragnatela RAT.

Les pirates n'ont pas réussi à protéger leurs propres ordinateurssuffisamment et se sont infectés avec le RATaccidentellement. Cet incident renforce l'argument selon lequel les APT d'Asie de l'Est opèrent à un niveau moins sophistiqué que leurs homologues de Russie ou de Corée du Nord.

Victimes et attaques passées

Au cours de l'opération Ragnatela, PatchWork a pu compromettre plusieurs cibles de premier plan. Il a infecté le ministère pakistanais de la Défense, ainsi que plusieurs membres du corps professoral de différentes universités travaillant dans les domaines de la médecine moléculaire et des sciences biologiques. Les victimes provenaient de l'Université UVAS, de l'Université SHU, de l'Institut de recherche HEJ de Karachi et de l'Université de défense nationale d'Islam Abad.

Dans le passé, PatchWork a ciblé des entités du monde entier. En mars 2018, le groupe a mené plusieurs campagnes de harponnage contre plusieurs groupes de réflexion américains, tandis qu'en 2016, il s'en est pris aux employés d'une organisation gouvernementale européenne. De nouveau en 2018, PatchWork a utilisé des documents corrompus portant le BADNEWS RAT contre plusieurs cibles en Asie du Sud.