Triton, un sofisticat programari d’accés remot (RAT) desenrotllat en Python, ha sigut identificat com una amenaça de nivell APT (Advanced Persistent Threat). Este artefacte maliciós utilitza Telegram com a infraestructura de C2 (Comandament i Control), de manera que permet als atacants accedir i controlar sistemes compromesos de manera remota, segons ha informat Cado Security.
El codi maliciós dissenyat pels ciberdelinqüents té com a objectiu principal l’exfiltració de credencials de Roblox i galletes d’autenticació persistent, les quals poden eludir mecanismes d’autenticació en dos factors (2FA). El cicle operatiu de Triton RAT comença amb l’obtenció del seu token de bot de Telegram i el xat ID des de Pastebin, utilitzant URL codificats en Base64 per a crear un canal de C2 ofuscat que evita ser detectat per sistemes de seguretat.
Token de Telegram i ID de xat codificats en Base64 (Font: CADO Security)
Una vegada instal·lat en els sistemes afectats, Triton RAT desplega una sèrie de funcions avançades de postexplotació, com la captura de pulsacions de tecles (keylogging), l’extracció de contrasenyes emmagatzemades (credential dumping), la captura de pantalles (screen scraping), el segrest de càmeres web (webcam hijacking) i el monitoratge del porta-retalls (clipboard monitoring). Estes capacitats permeten als atacants obtindre informació sensible de manera contínua i sigil·losa.
Investigadors de Cado Security han documentat este artefacte després d’analitzar una campanya de compromisos, en què destaca la seua arquitectura modular i les seues TTP (tàctiques, tècniques i procediments) relacionades amb operacions d’espionatge cibernètic. A través d’enginyeria inversa, es va descobrir que Triton RAT té funcions dissenyades específicament per a exfiltrar credencials emmagatzemades en navegadors com Chrome, Brave i Firefox, a més de centrar-se en l’extracció de la galleta .ROBLOSECURITY de Roblox, que permet eludir el 2FA.
Funció utilitzada per a buscar i exfiltrar galetes de seguretat de Roblox (Font: CADO Security)El vector inicial de infección es típico de los ataques de ingeniería social, utilizando técnicas como phishing o la entrega de archivos maliciosos. Posteriormente, Triton RAT realiza un reconocimiento detallado del sistema comprometido, recopilando información como huellas de hardware, configuraciones de red y perfiles de cuentas de usuario. Esta información es transmitida a través de la API de Telegram en formato JSON, permitiendo que los atacantes mantengan un control interactivo sobre el sistema comprometido.
Además de sus capacidades de control remoto, Triton RAT implementa mecanismos avanzados para garantizar la persistencia en los sistemas infectados. Utiliza scripts para deshabilitar las defensas de Windows, como el Windows Defender, y descarga binarios desde Dropbox para asegurar su permanencia en el sistema. También emplea técnicas de elevación de privilegios, como el bypass de UAC, para ejecutar el RAT con permisos de administrador.
El software malicioso incluye además una serie de técnicas anti-forenses, como la monitorización de procesos de análisis, la evasión de entornos de prueba y la ofuscación de código, lo que dificulta su detección y análisis.
Triton RAT representa una amenaza crítica debido a su enfoque en el robo de identidades digitales, su capacidad para evadir detección y su arquitectura multiplataforma. La integración con servicios legítimos como Telegram y Dropbox para el C2 complica aún más la atribución y la detección del ataque. Los expertos recomiendan implementar contramedidas basadas en análisis de comportamiento y endurecer las defensas de los puntos finales (EDR/XDR) para mitigar el riesgo que presenta este malware.