Triton, un sofisticado software de acceso remoto (RAT) desarrollado en Python, ha sido identificado como una amenaza de nivel APT (Advanced Persistent Threat). Este artefacto malicioso utiliza Telegram como infraestructura de C2 (Comando y Control), permitiendo a los atacantes acceder y controlar sistemas comprometidos de manera remota, según ha informado Cado Security.
El código malicioso diseñado por los cibercriminales tiene como objetivo principal la exfiltración de credenciales de Roblox y cookies de autenticación persistente, las cuales pueden eludir mecanismos de autenticación en dos factores (2FA). El ciclo operativo de Triton RAT comienza con la obtención de su token de bot de Telegram y el chat ID desde Pastebin, utilizando URLs codificadas en Base64 para crear un canal de C2 ofuscado que evita ser detectado por sistemas de seguridad.
Telegram token y chat ID codificada en Base64 (Fuente: CADO Security)
Una vez instalado en los sistemas afectados, Triton RAT despliega una serie de funciones avanzadas de post-explotación, como la captura de pulsaciones de teclas (keylogging), la extracción de contraseñas almacenadas (credential dumping), la captura de pantallas (screen scraping), el secuestro de cámaras web (webcam hijacking) y el monitoreo del portapapeles (clipboard monitoring). Estas capacidades le permiten a los atacantes obtener información sensible de manera continua y sigilosa.
Investigadores de Cado Security documentaron este artefacto tras analizar una campaña de compromisos, destacando su arquitectura modular y sus TTPs (Tácticas, Técnicas y Procedimientos) relacionadas con operaciones de espionaje cibernético. A través de ingeniería inversa, se descubrió que Triton RAT tiene funciones diseñadas específicamente para exfiltrar credenciales almacenadas en navegadores como Chrome, Brave y Firefox, además de centrarse en la extracción de la cookie .ROBLOSECURITY de Roblox, que permite eludir el 2FA.
Función utilizada para buscar y exfiltrar cookies de seguridad de Roblox (Fuente: CADO Security)El vector inicial de infección es típico de los ataques de ingeniería social, utilizando técnicas como phishing o la entrega de archivos maliciosos. Posteriormente, Triton RAT realiza un reconocimiento detallado del sistema comprometido, recopilando información como huellas de hardware, configuraciones de red y perfiles de cuentas de usuario. Esta información es transmitida a través de la API de Telegram en formato JSON, permitiendo que los atacantes mantengan un control interactivo sobre el sistema comprometido.
Además de sus capacidades de control remoto, Triton RAT implementa mecanismos avanzados para garantizar la persistencia en los sistemas infectados. Utiliza scripts para deshabilitar las defensas de Windows, como el Windows Defender, y descarga binarios desde Dropbox para asegurar su permanencia en el sistema. También emplea técnicas de elevación de privilegios, como el bypass de UAC, para ejecutar el RAT con permisos de administrador.
El software malicioso incluye además una serie de técnicas anti-forenses, como la monitorización de procesos de análisis, la evasión de entornos de prueba y la ofuscación de código, lo que dificulta su detección y análisis.
Triton RAT representa una amenaza crítica debido a su enfoque en el robo de identidades digitales, su capacidad para evadir detección y su arquitectura multiplataforma. La integración con servicios legítimos como Telegram y Dropbox para el C2 complica aún más la atribución y la detección del ataque. Los expertos recomiendan implementar contramedidas basadas en análisis de comportamiento y endurecer las defensas de los puntos finales (EDR/XDR) para mitigar el riesgo que presenta este malware.