Nhiều nhóm tin tặc, bao gồm các nhóm gián điệp mạng, đang sử dụng một công cụ quản trị từ xa Android mã nguồn mở có tên Rafel RAT để đáp ứng các mục tiêu hoạt động của họ bằng cách giả mạo nó là Instagram, WhatsApp và các ứng dụng thương mại điện tử và chống vi-rút khác nhau.
"Nó cung cấp cho các tác nhân độc hại một bộ công cụ mạnh mẽ để quản trị và kiểm soát từ xa, cho phép một loạt các hoạt động độc hại từ đánh cắp dữ liệu đến thao túng thiết bị", Check Point cho biết trong một phân tích được công bố vào tuần trước.
Nó tự hào có một loạt các tính năng, chẳng hạn như khả năng xóa thẻ SD, xóa nhật ký cuộc gọi, siphon thông báo và thậm chí hoạt động như ransomware.
Việc sử dụng Rafel RAT của DoNot Team (hay còn gọi là APT-C-35, Brainworm và Origami Elephant) trước đây đã được công ty an ninh mạng Israel nhấn mạnh trong các cuộc tấn công mạng tận dụng lỗ hổng thiết kế trong Foxit PDF Reader để lừa người dùng tải xuống các tải trọng độc hại.
Chiến dịch diễn ra vào tháng 4/2024, được cho là đã sử dụng mồi PDF theo chủ đề quân sự để phát tán phần mềm độc hại.
Check Point cho biết họ đã xác định được khoảng 120 chiến dịch độc hại khác nhau, một số nhắm vào các thực thể cao cấp, trải dài trên nhiều quốc gia khác nhau như Úc, Trung Quốc, Séc, Pháp, Đức, Ấn Độ, Indonesia, Ý, New Zealand, Pakistan, Romania, Nga và Mỹ.
Các chuỗi tấn công điển hình liên quan đến việc sử dụng kỹ thuật xã hội để thao túng nạn nhân cấp quyền xâm nhập cho các ứng dụng chứa phần mềm độc hại để lấy dữ liệu nhạy cảm như thông tin liên hệ, tin nhắn SMS (ví dụ: mã 2FA), vị trí, nhật ký cuộc gọi và danh sách các ứng dụng đã cài đặt, trong số những ứng dụng khác.
Rafel RAT chủ yếu sử dụng HTTP (S) cho giao tiếp lệnh và kiểm soát (C2), nhưng nó cũng có thể sử dụng API Discord để liên hệ với các tác nhân đe dọa. Nó cũng đi kèm với một bảng điều khiển C2 dựa trên PHP đi kèm mà người dùng đã đăng ký có thể tận dụng để đưa ra lệnh cho các thiết bị bị xâm nhập.
Hiệu quả của công cụ này trên các tác nhân đe dọa khác nhau được chứng thực bởi việc triển khai nó trong một hoạt động ransomware được thực hiện bởi một kẻ tấn công có khả năng có nguồn gốc từ Iran, người đã gửi một ghi chú tiền chuộc được viết bằng tiếng Ả Rập thông qua một tin nhắn SMS kêu gọi nạn nhân ở Pakistan liên hệ với họ trên Telegram.