Starland RAT
A Cisco Talos kutatói egy pénzügyi haszonszerzésre specializálódott fenyegető szereplőt követnek UAT-11795 néven, amely 2025 vége óta főként pénzügyi intézményeket és vállalati szervezeteket támad. A kampányok jellemzően adathalász e-mailekkel indulnak, amelyek ISO- vagy ZIP-tömörítéseket tartalmaznak. A fertőzési lánc egy Windows parancsfájllal, majd egy PowerShell-szkripttel indul, amely letölti és elindítja a WLDR egyedi implantátumot. A WLDR elsődleges feladata nem önálló kártevőként működni, hanem titkosított konfiguráció alapján memóriába tölteni és reflektív DLL-betöltéssel elindítani a Starland RAT-ot, így a fő komponens nem jelenik meg hagyományos futtatható fájlként a lemezen. A kommunikáció HTTPS-en keresztül történik, a konfiguráció és a C2-forgalom XOR-alapú titkosítást alkalmaz, a vezérlőszerver címei pedig dinamikusan frissíthetők.
A Starland RAT teljes értékű távoli hozzáférést biztosít a támadóknak. Több mint harminc különböző parancsot támogat, amelyek között szerepel rendszerinformációk gyűjtése, folyamatok és szolgáltatások kezelése, fájlok feltöltése és letöltése, könyvtárak bejárása, parancssori utasítások végrehajtása, képernyőképek készítése, további modulok letöltése, valamint a fertőzött rendszer újraindítása vagy leállítása. A malware emellett képes önmaga frissítésére, konfigurációjának módosítására és új C2-infrastruktúrára történő átállásra is. A Talos szerint a WLDR és a Starland együttes használata kifejezetten az EDR-megoldások megkerülésére készült, a memóriában futó komponensek, a reflektív DLL-betöltés és a minimális lemezaktivitás jelentősen csökkentik a hagyományos végpontvédelmi rendszerek észlelési esélyét.
A kutatók szerint az UAT-11795 nem köthető ismert zsarolóvírus-csoporthoz vagy állami szereplőhöz. A csoport saját fejlesztésű eszközkészletet használ, és működése inkább az initial access szereplőkéhez hasonlít, elsődleges célja a tartós hozzáférés megszerzése és a fertőzött rendszerek feletti irányítás kiépítése, amely később adatlopásra, pénzügyi csalásokra vagy más kiberbűnözői műveletek támogatására használható fel. A pénzügyi motivációjú fenyegető szereplők is egyre gyakrabban alkalmaznak egyedi, memóriában működő implantátumokat, amelyek technikai színvonala már megközelíti a fejlett állami kiberkémkedő csoportok által használt eszközökét.