Investigadores de seguridad han identificado un nuevo troyano de acceso remoto (RAT) denominado Krasue, dirigido a sistemas Linux en empresas de telecomunicaciones tailandesas. Este malware ha pasado desapercibido desde 2021 y se propaga mediante siete variantes de un rootkit que se camufla como un controlador de VMware sin firmar.
La función principal de Krasue es mantener el acceso al host de la víctima, sugiriendo su posible despliegue a través de una botnet o su venta a actores de amenazas. Su distribución puede ocurrir después de explotar vulnerabilidades, realizar ataques de fuerza bruta de credenciales o descargarse desde fuentes no confiables.
El objetivo específico de Krasue son las empresas de telecomunicaciones en Tailandia. Los rootkits integrados en el malware son módulos de Kernel de Linux basados en códigos de proyectos de código abierto como Diamorphine, Suterusu y Rooty. Estos rootkits proporcionan capacidades avanzadas, como ocultar puertos, procesos y archivos relacionados con malware.
Krasue se comunica con servidores de comando y control a través de nueve direcciones IP distintas, utilizando el puerto 554 asociado comúnmente con conexiones RTSP (Real Time Streaming Protocol). Este uso inusual de RTSP sugiere una particularidad en la comunicación de malware C2.
Aunque el origen de Krasue es desconocido, se han identificado superposiciones en el código del rootkit con otro malware Linux llamado XorDdos, indicando posiblemente un autor/operador común. Los investigadores han compartido indicadores de compromiso y reglas YARA para ayudar en la detección de esta amenaza, destacando la necesidad de una mayor investigación sobre el malware Krasue
