El Departamento de Justicia de EE.UU. ha anunciado el éxito de una operación conjunta internacional que ha llevado a la desarticulación de una red en línea, utilizada para distribuir el troyano de acceso remoto (RAT) conocido como Warzone RAT. La acción, que tuvo lugar el pasado viernes, reveló la confiscación de varios sitios web, incluido el principal, http://www.warzone[.]ws, utilizados por ciberdelincuentes para comercializar y desplegar esta herramienta maliciosa.

El modus operandi de la red consistía en ofrecer software malicioso diseñado para infiltrarse de manera encubierta en los sistemas de las víctimas y saquear sus datos. Según informes del Departamento de Justicia de EE.UU., se han detenido e imputado a dos individuos, identificados como Daniel Meli (27) de Malta y Prince Onyeoziri Odinakachi (31) de Nigeria, por su participación en la comercialización y facilitación de Warzone RAT a otros actores delictivos.

Los acusados enfrentan cargos por interferencia no autorizada en ordenadores protegidos, y Meli, además, es acusado de vender y publicitar ilegalmente dispositivos de interceptación electrónica, así como de participar en un complot para cometer numerosos delitos de intrusión informática.

Daniel Meli, sospechoso de operar en el negocio de malware desde 2012, ha sido previamente vinculado a la comercialización de otro RAT llamado Pegasus RAT antes de su implicación con Warzone RAT. Por otro lado, Prince Onyeoziri Odinakachi ha estado apoyando la utilización del malware Warzone RAT desde junio de 2019 hasta marzo de 2023.

La aparición inicial de Warzone RAT fue identificada por Yoroi en enero de 2019 durante un ataque cibernético a una empresa italiana del sector petrolero a finales de 2018. El modus operandi de este troyano se basaba en correos electrónicos falsos que utilizaban documentos fraudulentos de Microsoft Excel, aprovechando una vulnerabilidad en el Editor de ecuaciones (CVE-2017-11882) para infiltrarse en los sistemas objetivo.

Warzone RAT, también conocido como «Ave Maria», se ofrecía bajo el modelo de malware-as-a-service (Maas) por 38 dólares mensuales o 196 dólares anuales. Este software permitía a los usuarios no autorizados obtener acceso remoto a los sistemas infectados, lo que les permitía robar información confidencial y ejercer control sobre los dispositivos comprometidos para su explotación posterior.

Las características distintivas de este malware incluyen la capacidad de recopilar datos de la víctima, capturar imágenes de pantalla, registrar pulsaciones de teclado, obtener nombres de usuario y contraseñas, y activar cámaras web sin el conocimiento del usuario afectado.

Según Zscaler ThreatLabz, Warzone RAT utiliza correos electrónicos de phishing para iniciar los ataques, infectando las máquinas de las víctimas y estableciendo contacto con el servidor de comando y control (C2) del atacante a través de un protocolo no HTTP, utilizando el algoritmo RC4 para cifrar su conexión C2.

Uno de los sitios web utilizados por los creadores de Warzone RAT, ahora eliminado, presentaba el eslogan «Sirviéndole lealmente desde 2018», promocionando el malware como una herramienta confiable y fácil de usar. Los clientes podían contactar con los operadores a través de diversos canales, incluyendo correo electrónico, Telegram, Skype, y un área especial para clientes.

Además de su utilización por parte de grupos de ciberdelincuentes, Warzone RAT ha sido explotado por varios actores de amenazas sofisticadas, incluyendo YoroTrooper y algunos vinculados a Rusia.

La operación liderada por el FBI contó con la participación de agencias de Alemania, Australia, Canadá, Croacia, Finlandia, Japón, Malta, Nigeria, Países Bajos, Rumanía y Europol. Los investigadores del FBI adquirieron copias del RAT Warzone para validar sus funciones maliciosas y llevar a cabo acciones contra sus operadores.

Warzone RAT representa una seria amenaza para la ciberseguridad global, siendo utilizado para robar información sensible, comprometer la privacidad de los usuarios y permitir la ejecución de actividades maliciosas por parte de los delincuentes digitales. La desarticulación de esta red y el arresto de sus operadores son pasos significativos en la lucha contra el cibercrimen, pero también destacan la necesidad continua de vigilancia y cooperación internacional para combatir esta creciente amenaza.