kkRAT
A Zscaler ThreatLabz biztonsági kutatói 2025 májusának elején egy célzott kampányt azonosítottak, amely kínai nyelvű felhasználókat vett célba. A fertőzés során három különböző távoli hozzáférést biztosító kártevőt (RAT) juttatnak a rendszerbe, a már ismert ValleyRAT és FatalRAT, valamint egy teljesen új, a kutatók által kkRAT névre keresztelt kártevő. A támadók hamis telepítőoldalakat használnak – ezek GitHub Pages-en futnak – ahol népszerű szoftvernek álcázzák magukat, ám valójában ZIP-fájlokat tartalmaznak, melyek egy rosszindulatú alkalmazást indítanak el.
A vírus több szakaszban lép működésbe. Az első szakaszban felméri a környezetet: ha virtuális gépen vagy laboratóriumban fut, a folyamat „elfut”, elrejtve magát – akár a rendszer konfigurációját meghamisítva. A második lépésben, ha rendszergazdai jogosultságot kap, ideiglenesen leállítja a hálózati adaptereket, hogy megszakítsa a védelmi eszközökkel való kommunikációt, majd sérülékeny illesztőprogramok segítségével (pl. RTCore64.sys) eltávolítja a védekezés egyes elemeit. A harmadik fázisban letölti és futtatja az igazi kártékony programot – ez a kkRAT maga. Ez hasonlít a Ghost RAT-hoz, de kiegészíti azt egy titkosítási réteggel, amely adatkompresszió után lép működésbe.
A kkRAT számos veszélyes funkciót kínál támadója számára, így képes a vágólap tartalmát módosítani (például kriptovaluta-címeket lecserélni a támadó saját címére), távoli felügyeleti eszközöket telepíteni (mint a Sunlogin vagy GotoHTTP), és akár proxyként működni
