Ratty: detectan campaña de phishing con virus troyano en archivos PDF

Una reciente campaña de phishing detectada por el equipo de investigación de ESET (compañía internacional de seguridad digital) reporta la difusión de Ratty, un troyano de acceso remoto (RAT), mediante documentos PDF maliciosos y técnicas de ingeniería social. El ataque apunta principalmente a usuarios de habla hispana, con énfasis en Perú, aunque el riesgo podría extenderse a otros países de Latinoamérica.

La operación comienza con un correo que incluye un archivo adjunto denominado Factura.pdf. Este archivo induce al destinatario a hacer clic en un enlace que conduce a la descarga de un archivo HTML (por ejemplo, FACTURA‑243240011909044.html). A través de ese archivo se ejecuta un script VBS (FA‑45‑04‑25.vbs), el cual descarga un archivo comprimido (InvoiceXpress.zip). En su interior se encuentra InvoiceXpress.cmd, responsable de lanzar InvoiceXpress.jar, identificado como la variante del troyano Ratty que establece la conexión con un servidor de comando y control (C2).

A partir de la ejecución de Ratty, el equipo de ESET documentó varias funcionalidades clave (y peligrosas para los usuarios):

Recolección de información personal: capturas de pantalla, imágenes o video mediante cámara, grabación por micrófono y registro de pulsaciones de teclado (keylogging).

Persistencia en el sistema: el troyano se copia dentro del entorno de Windows como un archivo con extensión PNG para ocultar su presencia, y crea una entrada en el registro llamada AutorunKey para iniciarse automáticamente con cada sesión.

Comunicación con servidor de control: Ratty se conecta a un servidor C2 alojado en la infraestructura de EQUINIX-CONNECT-EMEAGB, empleando el puerto TCP 8911. ESET identificó módulos como PacketLogin, PacketKeepAlive y PacketDisconnect, usados para gestionar autenticación y mantener la conexión con el servidor de control.

Técnicas de ocultamiento: Ratty dispone de módulos que bloquean la pantalla, congelan el mouse o bloquean pulsaciones para impedir que el usuario note o interfiera con las actividades maliciosas en curso.

Transferencia de datos: existen componentes que permiten subir o bajar archivos entre el equipo infectado y el servidor C2, así como módulos HTTP (por ejemplo HTTPUtil.java) para gestionar comunicaciones mediante protocolo HTTP.

Este troyano está escrito en Java, lo que representa una elección poco frecuente en la región latinoamericana, aunque su amplio conjunto de funcionalidades explica su adopción en campañas recientes. ESET alerta que pueden existir múltiples variantes de Ratty con módulos adicionales o distintos niveles de sofisticación dependiendo del objetivo.

Distribución en la nube como vector de propagación

Una particularidad destacada de esta campaña es el uso de servicios de almacenamiento en la nube como Google Drive, Dropbox y Mediafire para alojar y distribuir los archivos maliciosos. Al hacerlo, los atacantes aprovechan la aparente legitimidad de estas plataformas para facilitar la descarga por parte de la víctima.

Algunas etapas clave del flujo de ataque son:

Envío masivo de correos con apariencia de facturas u otros documentos contables.

Descarga del archivo HTML desde un enlace incluido en el PDF.

Descarga del script VBS que, al ejecutarse, lanza el archivo comprimido con el troyano.

Ejecución automática del jar de Ratty desde el script de comandos.

Conexión al servidor C2 y activación de módulos para espionaje y control remoto.

Este método escalonado —uso de PDF, HTML, scripts VBS y archivos comprimidos— complica la detección temprana, ya que cada etapa puede parecer independiente o legítima si no se examina en conjunto.

Riesgos y recomendaciones para usuarios en Latinoamérica

Aunque el reporte de ESET menciona que la campaña se enfoca en Perú, el vector utilizado y la naturaleza del ataque lo hacen relevante para otros países de habla hispana, por lo que usuarios en El Salvador están expuestos a este peligro informático. Los riesgos incluyen la pérdida de datos confidenciales, espionaje de actividad privada, y el uso remoto del equipo infectado para otros fines ilícitos.

Ante esta amenaza, algunas medidas de protección recomendadas son:

No abrir archivos adjuntos de remitentes desconocidos, especialmente si contienen documentos PDF con enlaces inusuales.

Revisar con atención los enlaces antes de hacer clic; si apuntan a servicios de alojamiento en la nube, verificar su legitimidad.

Deshabilitar la ejecución automática de scripts VBS o archivos ejecutables desde documentos descargados.

Mantener actualizado el sistema operativo y el software antivirus con firmas recientes.

Aplicar soluciones EDR (detección y respuesta en endpoint) en entornos corporativos para detectar comportamientos anormales.

Hacer respaldos regulares de la información crítica en dispositivos que no estén continuamente conectados.

Te puede interesar: Elección Reina Soyapango 2025, cultura y talento en escena

Implicaciones para empresas y vigilancia regional

Para organizaciones y entidades gubernamentales, esta campaña subraya la importancia de fortalecer controles internos, especialmente en correo electrónico y filtrado de contenido. También es un recordatorio de que las amenazas modernas aprovechan cadenas de ejecución múltiples y herramientas legítimas (como plataformas en la nube) para evadir detección.

Las autoridades de ciberseguridad en cada país deberían monitorear campañas similares y compartir inteligencia para prevenir su expansión entre fronteras. También corresponde coordinar normas y prácticas de ciberdefensa con organismos regionales.

La campaña que difunde Ratty representa un ejemplo reciente de cómo se combinan ingeniería social y múltiples etapas de descarga para desplegar un troyano de acceso remoto con capacidades de espionaje y control total. Aunque el foco inicial es Perú, el método empleado puede ajustarse a otros países de habla hispana. Usuarios y organizaciones deben estar alertas a correos sospechosos, reforzar sus defensas y revisar sus procedimientos internos para prevenir el acceso y despliegue de amenazas como Ratty.