Investigadores de Kaspersky alertaron sobre la detección de un nuevo troyano de acceso remoto (RAT) denominado GodRAT, distribuido inicialmente a través de archivos disfrazados como documentos financieros enviados por Skype hasta marzo de 2025. Posteriormente, los atacantes ampliaron sus canales de propagación, incrementando el riesgo para pequeñas y medianas empresas de distintos países.
El código de este malware fue detectado en julio de 2024 en un escáner en línea utilizado por analistas de seguridad. Entre las regiones más afectadas por esta campaña se encuentran Emiratos Árabes Unidos, Hong Kong, Jordania y Líbano, donde pymes y entidades financieras han sido blanco de los ataques.
Cómo opera GodRAT
Para evitar ser identificado, el troyano se esconde dentro de archivos de imagen que parecen mostrar datos financieros. Una vez abierto, establece conexión con un servidor remoto, desde donde descarga la versión completa de GodRAT.
El malware recopila información sensible del sistema comprometido, incluyendo el sistema operativo, nombre del equipo, programas instalados, credenciales de usuario y la presencia de software de seguridad. Con el plugin FileManager, los atacantes pueden explorar el dispositivo infectado y, además, robar contraseñas guardadas en navegadores como Chrome y Edge.
En paralelo, se ha detectado el uso de AsyncRAT como implante secundario, lo que permite a los cibercriminales mantener el acceso prolongado a los sistemas, incluso si la primera infección es eliminada.
Una evolución de amenazas anteriores
De acuerdo con Lisandro Ubiedo, analista senior del Equipo Global de Investigación y Análisis de Kaspersky, GodRAT es probablemente una evolución de AwesomePuppet, reportado en 2023 y vinculado al grupo APT Winnti. Presenta similitudes de código con Gh0st RAT, un malware histórico cuyo origen se remonta a casi dos décadas, pero que sigue siendo actualizado y empleado en ataques actuales.
“El descubrimiento de GodRAT demuestra cómo herramientas conocidas desde hace tiempo pueden seguir siendo relevantes en el panorama actual de la ciberseguridad”, señaló Ubiedo.
Recomendaciones para protegerse
Ante el crecimiento de estas amenazas, Kaspersky recomienda:
Mantener el software actualizado: sistema operativo, navegadores y antivirus deben contar con las últimas versiones.
Activar la visualización de extensiones de archivo: una medida simple que ayuda a identificar archivos sospechosos con extensiones ocultas como .exe, .vbs o .scr.
Adoptar soluciones avanzadas de seguridad empresarial: productos como Kaspersky Next ofrecen protección en tiempo real, visibilidad de amenazas y capacidades de respuesta (EDR y XDR) para organizaciones de cualquier tamaño.
Un recordatorio para las pymes
Aunque los ciberataques a gran escala suelen centrarse en instituciones financieras y corporaciones, cada vez más pymes están en la mira de los ciberdelincuentes. Suelen contar con menos recursos en ciberseguridad, lo que las convierte en objetivos atractivos para los atacantes.
La detección de GodRAT es una señal clara de que las viejas técnicas, combinadas con nuevas variantes, seguirán representando un riesgo importante en 2025. Las empresas deben reforzar sus sistemas y adoptar una cultura de prevención digital que les permita responder con rapidez ante posibles incidentes.