ESET ha anunciado que los investigadores de su laboratorio han descubierto, en colaboración con Avast, una herramienta de acceso remoto (RAT) con funcionalidades de puerta trasera denominada Mikroceen.

En el análisis conjunto llevado a cabo se ha encontrado Mikroceen en ataques de espionaje contra gobiernos y ciertas empresas, especialmente de los sectores del gas y las telecomunicaciones, en Asia Central.

Los atacantes conseguían acceso durante mucho tiempo a las redes afectadas, manipulaban archivos y realizaban capturas de pantalla. Los dispositivos de las víctimas podían ejecutar diversos comandos de forma remota desde los servidores de mando y control. Los investigadores observaron la implementación personalizada de Mikroceen bajo un modelo de cliente-servidor especialmente diseñado para el ciberespionaje.

“Los desarrolladores del malware pusieron mucho esfuerzo en asegurar la conexión cliente-servidor con sus víctimas. El malware se utilizaba activamente mientras los operadores conseguían penetrar en redes corporativas de alto nivel. También observamos un conjunto de herramientas de ataque que estaba siendo constantemente utilizado y desarrollado y que consistía sobre todo en variaciones de las técnicas de ofuscación”, comenta Peter Kálnai, responsable de ESET en el equipo conjunto de investigación.

Mikroceen se encuentra en constante desarrollo y los investigadores han visto cómo se utilizaba con capacidades de puerta trasera en varias operaciones desde finales de 2017. Entre las herramientas utilizadas por los atacantes para moverse por las redes comprometidas, los investigadores de ESET y Avast también identificaron a Gh0st RAT, otra RAT más antigua y conocida. Existen muchas similitudes entre Gh0stRAT, que data de 2008, y Mikroceen, aunque la mayor diferencia entre los proyectos es que Mikroceen protege la conexión con un certificado.