Novel KarstoRAT RAT ermöglicht Webcam-Überwachung, Audioaufzeichnung und Fernausführung von Nutzlasten

KarstoRAT ist darauf ausgelegt, seinen Betreibern Kontrolle über ein infiziertes System zu geben, in dem es läuft. Die analysierte Probe ist eine 64-Bit-Windows-Executable, kompiliert mit Microsoft Visual Studio 2022, mit einem Debug-Build-Zeitstempel vom 16.

Februar 2026. Sie kommuniziert mit einem hartkodierten Command-and-Control (C2)-Server unter 212.227.65[.]132 über Port 15144 und verwendet die Windows Internet API (WinINet) für den gesamten ausgehenden Verkehr.

Sobald sie läuft, sendet sie Herzschlagbenachrichtigungen alle zwei Sekunden und hält so eine konstante Verbindung zum Server des Angreifers aufrecht.

LevelBlue-Analysten identifizierten KarstoRAT während einer Bedrohungsuntersuchung

LevelBlue-Analysten identifizierten KarstoRAT während einer Bedrohungsuntersuchung und stellten fest, dass die Malware weder öffentlich gelistet noch auf Underground-Foren oder Cybercrime-Marktplätzen verkauft wurde.

Dies deutet darauf hin, dass es sich um ein privat entwickeltes Werkzeug handelt, das verwendet wird, anstatt um ein weit verbreitetes Massenware-RAT.

Die Präsenz mehrerer Samples in öffentlichen Analyseumgebungen gibt Forschern ein seltenes Einblickfenster in eine private Bedrohung, die erst kürzlich in realen Aktivitäten aufgetaucht ist. Was KarstoRAT besonders bedenklich macht, ist sein -Engineering-Ansatz bei der Verbreitung.

Die Forscher fanden heraus, dass die

Die Forscher fanden heraus, dass die C2-Infrastruktur eine gefälschte Roblox-Handelswebsite namens „Blox Stocks“ und ein Cheat-Download-Panel namens „Venom Files. Venom Files cheat download panel (Source – LeverBlue)“ hostet.

Die Blox Stocks Seite zielt auf jüngere Roblox-Spieler mit Versprechungen billiger In-Game-Items ab, während das Venom Files Panel FPS- und GTA-Modder mit sogenannten Premium-Game-Cheats lockt. Beide Seiten sind darauf ausgelegt, Benutzer dazu zu verleiten, die Malware herunterzuladen und auszuführen.

Dekodierte gültige VMess mit Base64-kodierter Proxy-Konfiguration (Quelle – LeverBlue) Der C2-Server betreibt eine mehrschichtige Infrastruktur über mehrere offene Ports und Dienste, darunter SSH-Tunnel, Node.js-APIs und einen VMess-Proxy, der über Cloudflare Argo WebSocket auf Port 443 mit TLS-Fingerprinting auf Firefox geroutet wird.

Moegliche Anwendungen

Dekodierte JSON-Proxy-Konfiguration (Quelle – LeverBlue) Diese verschleierte Einrichtung hilft der Malware, sich in normalen Datenverkehr einzufügen und den Zugriff in eingeschränkten Netzwerkumgebungen aufrechtzuerhalten.

Überwachungs- und Payload-Ausführungsfähigkeiten Sobald KarstoRAT auf dem Gerät eines Opfers läuft, betritt es eine endlose Zwei-Sekunden-Polling-Schleife und wartet auf Befehle vom C2-Server. Die Übersicht der Probe in PEStudio zeigt, dass die ausführbare Datei eine moderate Entropie ohne angewendetes Packing aufweist.

Übersicht (Quelle – LeverBlue) Das Webcam-Modul, das durch den WEBCAM-Befehl ausgelöst wird, erstellt ein unsichtbares Capture-Fenster, verbindet sich mit dem Standard-Webcam-Treiber, erfasst einen einzelnen Standbildrahmen, speichert ihn als temporäre BMP-Datei (webcap.bmp) und lädt ihn an den Endpunkt /upload-webcam hoch, bevor es die Datei vom Laufwerk entfernt.

Es erscheint kein Fenster auf dem

Es erscheint kein Fenster auf dem Bildschirm und es wird dem Opfer während des gesamten Vorgangs keine sichtbare Warnung angezeigt.

Die Audioaufzeichnungsfunktion verwendet die Windows Multimedia Command Interface (MCI), um das Mikrofon des Opfers stumm zu öffnen, für eine vom Angreifer festgelegte Dauer aufzuzeichnen, das Ergebnis als temporäre WAV-Datei zu speichern und es an den Endpunkt /upload-audio hochzuladen.

Der Aufzeichnungsvorgang läuft in einem dedizierten Hintergrund-Thread und hält den Hauptprozess vollständig reaktionsfähig. Der Keylogger installiert einen Low-Level-Tastatur-Hook mithilfe über alle aktiven Anwendungen hinweg und sendet die Daten über HTTP POST an den Endpunkt /upload-keylog.

Fr die Persistenz verwendet KarstoRAT drei

Fr die Persistenz verwendet KarstoRAT drei unterschiedliche Methoden: einen Windows Registry Run-Schlssel mit dem Namen SecurityService, einen geplanten Task namens SystemCheck und eine Kopie , die im Windows Startup-Ordner platziert wird.

Ein UAC-Bypass mittels fodhelper.exe ermglicht es der Malware, erhhte Privilegien zu erlangen, ohne dem Opfer irgendein Sicherheitsprompt anzuzeigen. Organisationen sollten umgehend die C2-IP-Adresse 212.227.65[.]132 blockieren und auf Verbindungen auf den Ports 15144 und 13614 berwachen.

Sicherheitsteams sollten Netzwerkprotokolle nach der User-Agent-Zeichenkette SecurityNotifier durchsuchen und nach Registry-Eintrgen unter HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SecurityService sowie nach geplanten Tasks mit dem Namen SystemCheck suchen.

Endpoint-Detection-Tools sollten so konfiguriert werden,

Endpoint-Detection-Tools sollten so konfiguriert werden, dass sie jede Instanz kennzeichnen. Alle Benutzer sollten vermeiden, Game-Cheats oder Trading-Tools.

Sie uns auf