Vários agentes de ransomware estão utilizando um malware conhecido como Skitnet como parte de seus esforços de pós-exploração para roubar dados sensíveis e estabelecer controle remoto sobre hosts comprometidos.
"O Skitnet está sendo vendido em fóruns underground como o RAMP desde abril de 2024", informou a empresa suíça de cibersegurança PRODAFT .
No entanto, desde o início de 2025, observamos vários operadores de ransomware o utilizando em ataques reais. Por exemplo, em abril de 2025, o Black Basta utilizou o Skitnet em campanhas de phishing temáticas do Teams direcionadas a ambientes empresariais.
Com seus recursos de furtividade e arquitetura flexível, o Skitnet parece estar ganhando rápida adoção dentro do ecossistema de ransomware. O Skitnet, também chamado de Bossnet, é um malware multi-estágio desenvolvido por um ator de ameaça monitorado pela empresa sob o nome LARVA-306.
Um aspecto notável da ferramenta maliciosa é que ela utiliza linguagens de programação como Rust e Nim para lançar um reverse shell sobre DNS e evadir detecção.
Ele também incorpora mecanismos de persistência, ferramentas de acesso remoto, comandos para exfiltração de dados e até mesmo baixar um binário .NET loader que pode ser usado para servir payloads adicionais, tornando-o uma ameaça versátil.
Anunciado pela primeira vez em 19 de abril de 2024, o Skitnet é oferecido a clientes em potencial como um "pacote compacto" que compreende um componente de servidor e malware.
O executável inicial é um binário Rust que descriptografa e executa um payload embutido compilado em Nim.
"A função principal deste binário Nim é estabelecer uma conexão de reverse shell com o servidor C2 via resolução DNS", disse a PRODAFT.
Para evadir a detecção, ele emprega a função GetProcAddress para resolver dinamicamente os endereços das funções da API, em vez de usar tabelas de importação tradicionais. O binário baseado em Nim inicia múltiplas threads para enviar pedidos DNS a cada 10 segundos, ler respostas DNS e extrair comandos a serem executados no host, e transmitir os resultados da execução do comando de volta ao servidor.
Os comandos são emitidos via um painel C2 que é usado para gerenciar os hosts infectados.
Alguns dos comandos do PowerShell suportados estão listados abaixo:
-Startup, que garante persistência criando atalhos no diretório de inicialização do dispositivo da vítima.
-Screen, que captura uma captura de tela da área de trabalho da vítima.
-Anydesk/Rutserv, que implanta um software legítimo de desktop remoto como AnyDesk ou Utilidades Remotas ("rutserv.exe") Shell, para executar scripts do PowerShell hospedados em um servidor remoto e enviar os resultados de volta ao servidor C2.AV, que coleta uma lista de produtos de segurança instalados.
"O Skitnet é um malware multi-estágio que utiliza múltiplas linguagens de programação e técnicas de criptografia", disse a PRODAFT.
Ao usar Rust para descriptografia de payload e mapeamento manual, seguido por um reverse shell baseado em Nim comunicando-se sobre DNS, o malware tenta evadir medidas de segurança tradicionais.
A divulgação vem enquanto a Zscaler ThreatLabz detalhou outro carregador de malware chamado TransferLoader que está sendo usado para entregar uma cepa de ransomware chamada Morpheus, visando um escritório de advocacia americano.
Ativo desde pelo menos fevereiro de 2025, o TransferLoader incorpora três componentes: um downloader, um backdoor e um carregador especializado para o backdoor, permitindo que os atores de ameaças executem comandos arbitrários no sistema comprometido.
Enquanto o downloader é projetado para buscar e executar um payload útil de um servidor C2 e simultaneamente executar um arquivo PDF isca, o backdoor é responsável por executar comandos emitidos pelo servidor, bem como atualizar sua própria configuração.
"O backdoor utiliza a plataforma descentralizada peer-to-peer do Sistema de Arquivos InterPlanetários (IPFS) como um canal de fallback para atualizar o servidor de comando e controle (C2)", disse a empresa de cibersegurança.
Os desenvolvedores do TransferLoader usam métodos de ofuscação para tornar o processo de engenharia reversa mais tedioso.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...