En el mundo de la ciberseguridad, las amenazas evolucionan con una rapidez feroz. Cada semana nace un nuevo adversario, pero pocos logran destacar como lo está haciendo ResolverRAT, una herramienta de acceso remoto que no solo infecta, sino que orquesta. Este malware no es solo una nueva variante: es un titiritero, capaz de manipular dispositivos comprometidos con precisión quirúrgica, camuflar su actividad y mantener el control sin levantar sospechas.
En este análisis, desentrañaremos las entrañas técnicas de ResolverRAT, sus tácticas de evasión, vectores de infección y, lo más importante, su propósito real: convertir dispositivos comunes en activos silenciosos de espionaje cibernético.
ADN del Malware: ¿Qué es ResolverRAT?
ResolverRAT es una Remote Access Trojan de última generación, descubierta recientemente en campañas dirigidas en Latinoamérica y Europa del Este. A diferencia de sus predecesores, no se limita a ofrecer control remoto básico: incluye funciones avanzadas como:
- Captura continua de pantalla con compresión dinámica.
- Grabación de audio y video por demanda.
- Keylogger sigiloso con inteligencia de contexto.
- Funcionalidad de VNC inverso sin requerir privilegios elevados.
- Inyección de DLL en procesos legítimos del sistema.
- Persistencia mediante técnicas multi-layer (registry, tareas programadas y loader en memoria).
Lo que más destaca de ResolverRAT es su modularidad: los atacantes pueden actualizar y desplegar módulos sobre la marcha, sin necesidad de reinfección.
Tácticas de evasión: el arte del sigilo
ResolverRAT no solo entra sin ser detectado: se queda sin ser notado. Usa múltiples capas de evasión, incluyendo:
- Ofuscación dinámica con encriptación XOR rotativa.
- Firmas mutantes que burlan motores AV tradicionales.
- Técnicas «living off the land» (LOLbins), abusando herramientas del sistema como rundll32, mshta, powershell y wmic.
- Comunicación con C2 usando DNS tunneling y HTTP3 con encabezados falsos.
Además, implementa sandbox evasion: detecta entornos de análisis automatizados y cambia su comportamiento o se autodestruye si encuentra indicadores de virtualización o herramientas como Wireshark, Process Explorer o Cuckoo.
Vectores de infección: cómo llega a su víctima
ResolverRAT ha sido observado en campañas de spear phishing altamente personalizadas, con archivos adjuntos disfrazados de facturas, hojas de vida, o incluso scripts aparentemente inofensivos para técnicos de soporte. También se ha detectado en foros clandestinos empaquetado como herramientas para administración remota o pentesting, una táctica de ingeniería social que apunta a usuarios técnicos desprevenidos.
En algunos casos, se ha propagado a través de:
- Documentos Office con macros maliciosas
- Scripts de PowerShell autoejecutables
- Instaladores de software pirata
Inteligencia de amenazas: ¿quién está detrás?
Si bien la atribución siempre es compleja, la telemetría y los C2 descubiertos apuntan a una posible vinculación con grupos APT de Europa del Este, especializados en espionaje industrial y vigilancia selectiva. ResolverRAT se ha dirigido principalmente a:
- Empresas de telecomunicaciones
- Entidades gubernamentales
- Firmas de abogados en procesos sensibles
- Activistas y periodistas
Este perfil sugiere un enfoque más allá del cibercrimen tradicional: ResolverRAT podría estar al servicio de operaciones de inteligencia digital.
Indicadores de compromiso (IoCs)
Dominios observados:
- api-resolver-sync[.]com
- hostlog24[.]net
- resolvercdn[.]pro
Hashes conocidos:
- b453a7f21c3ee9a64e0a1fef34278e6a
- 9c87d05e27e92fffa0ed04a98b3b54b2
Procesos sospechosos:
- svchost.exe (instanciado fuera de System32)
- rundll32.exe resolver.dll,Launch
Recomendaciones para defensa
- Segmentación de red y detección de tráfico DNS anómalo.
- Implementar EDR con capacidad de análisis de comportamiento y heurística avanzada.
- Monitorear procesos inusuales que invoquen PowerShell, rundll32 o WMI.
- Aplicar políticas estrictas de macros en Office.
- Capacitación continua en phishing para personal no técnico.
ResolverRAT no es solo otro malware, es una advertencia. Representa la evolución de las RATs hacia formas más sofisticadas, invisibles y persistentes. Nos recuerda que la defensa debe ser proactiva, inteligente y continua. Ya no basta con detectar: hay que entender, anticipar y adaptarse.
Woted2 