- La campaña distribuye Ratty mediante PDFs con enlaces que encadenan HTML, VBS, ZIP y JAR.
- El malware ofrece espionaje, control remoto y persistencia en Windows.
- Los archivos maliciosos se alojan en servicios en la nube como Drive, Dropbox o Mediafire.
- ESET recomienda verificar remitentes, actualizar sistemas y aplicar EDR y copias de seguridad.
Investigadores de ESET han identificado una campaña de phishing que se sirve de archivos PDF para introducir el troyano de acceso remoto Ratty en los equipos de las víctimas. El foco principal son usuarios de habla hispana —con especial incidencia en Perú—, aunque la técnica podría replicarse en otros países de la región.
El truco arranca con un correo convincente que adjunta un supuesto documento contable. Al abrir el PDF y pulsar en sus enlaces, se activa una cadena de infección por etapas que complica la detección temprana y desemboca en la instalación de Ratty, con capacidad de espionaje y control total del dispositivo.
Cómo funciona la cadena de infección
El ataque llega mediante un correo con un adjunto llamado, por ejemplo, «Factura.pdf». Ese documento incluye un enlace que descarga un HTML (como FACTURA‑243240011909044.html), primera pieza de una secuencia cuidadosamente orquestada para pasar desapercibida.
Al abrir el HTML, se ejecuta un script VBS (FA‑45‑04‑25.vbs) encargado de bajar un archivo comprimido, InvoiceXpress.zip. Dentro, un script por lotes (InvoiceXpress.cmd) lanza el componente final: InvoiceXpress.jar, la carga útil identificada como Ratty.
Una vez activo, el JAR establece conexión con un servidor de mando y control alojado en EQUINIX-CONNECT-EMEAGB a través del puerto TCP 8911. ESET documenta paquetes como PacketLogin, PacketKeepAlive y PacketDisconnect, usados para autenticación y mantenimiento de la sesión con el C2.
Los operadores se apoyan en plataformas populares de almacenamiento —Google Drive, Dropbox y Mediafire— para hospedar los componentes intermedios, reforzando la apariencia de legitimidad. En ciertos casos, el flujo incluso comprueba el idioma del navegador y continúa sólo si detecta español u otro distinto del inglés.
El encadenamiento de PDF + HTML + VBS + ZIP + JAR permite que cada elemento parezca inocuo por separado, lo que reduce las sospechas y complica el trabajo de los filtros automáticos de correo y de algunas soluciones de seguridad.
Capacidades del troyano Ratty documentadas
Ratty está orientado al espionaje y al control remoto. Entre sus funciones destacan la toma de capturas de pantalla, el uso de cámara y micrófono, y el registro de pulsaciones de teclado (keylogging), todo ello con fines de vigilancia y robo de información.
Para perdurar, el malware se copia en el sistema con extensión PNG para camuflarse y crea una clave de inicio automático en el registro de Windows denominada AutorunKey, garantizando su ejecución en cada inicio de sesión.
El conjunto de módulos incluye opciones para bloquear la pantalla, congelar el ratón o impedir pulsaciones, así como transferir ficheros con el servidor C2. También utiliza componentes HTTP (por ejemplo, HTTPUtil.java) para gestionar comunicaciones y movimiento de datos.
Es destacable que el troyano esté escrito en Java, algo menos habitual en campañas de la región. ESET alerta de variantes con diferentes módulos y grados de sofisticación que podrían activarse según el objetivo.
Alcance geográfico y potencial impacto
La operación se dirige principalmente a usuarios hispanohablantes, con especial énfasis en Perú, pero el vector empleado y el uso de servicios en la nube facilitan su expansión a otros países de Latinoamérica.
El daño potencial comprende robo de credenciales, datos bancarios e información privada, además de la posibilidad de controlar el equipo infectado para otras actividades ilícitas o para espiar entornos corporativos.
Señales de alerta en PDFs y correos
Detectar un ataque a tiempo requiere fijarse en pequeños detalles que suelen pasarse por alto cuando el mensaje aparenta ser legítimo.
- Adjuntos comprimidos: llegada de PDFs dentro de ZIP/RAR para eludir filtros.
- Nombres genéricos o engañosos: «Factura.pdf» u otros títulos comunes; cuidado con dobles extensiones.
- Remitentes dudosos: dominios extraños o mensajes inesperados que piden acciones inmediatas.
- Enlaces a nubes públicas: URLs a Drive/Dropbox/Mediafire que fuerzan descargas de HTML o scripts.
Recomendaciones para usuarios y organizaciones
Evita abrir adjuntos de procedencia desconocida, desconfía de PDFs que incluyan botones o enlaces y préstate a revisar la URL real antes de hacer clic, especialmente si conduce a servicios de almacenamiento.
Conviene deshabilitar la ejecución automática de scripts VBS, mantener el sistema operativo y el antivirus al día y, en entornos corporativos, desplegar soluciones EDR para detectar comportamientos anómalos. Realiza copias de seguridad periódicas en soportes que no estén siempre conectados.
Las organizaciones deberían reforzar controles de correo y filtrado de contenido, además de participar en el intercambio de inteligencia entre países y organismos regionales para cortar la propagación de campañas similares.
Este caso ilustra cómo un PDF aparentemente normal puede activar una cadena técnica multietapa que culmina con un troyano con control total del equipo. Mantener la guardia alta, revisar el origen de cada adjunto y contar con medidas de defensa en profundidad marca la diferencia entre frustrar el intento y acabar comprometido.