Si chiama GlassRAT ed è uno strumento di accesso remoto (Remote Access Tool – RAT) firmato con un certificato che sembra essere oggetto di appropriazione indebita ed assegnato ad un popolare sviluppatore di software in Cina. Questo malware, scoperto fa RSA ed in precedenza impossibile da rilevare dai maggiori prodotti antivirus, è stato sotto il radar per diversi anni e può essere rilevato solamente utilizzando strumenti di network ed endpoint forensics.
I risultati dell’analisi svolta dai ricercatori di RSA suggeriscono che questo malware faccia parte di una campagna che ha come obiettivo cittadini cinesi in organizzazioni commerciali multinazionali.
La struttura di comando e controllo (C2) di GlassRAT ha mostrato una leggera sovrapposizione con quelle di altri malware, e relative campagne, che avevano precedentemente preso di mira organizzazioni governative e militari asiatiche di importanza strategica già nel 2012.
Non si conosce ancora la vera ragione di una tale sovrapposizione. Si noti però che GlassRAT sembra essere stato compilato alla fine del 2012. Spesso capita che gli autori delle minacce rimpiazzino semplicemente strumenti di basso livello come i RAT, una volta che questi diventano rilevabili, senza però necessariamente cambiare la propria tattica, le procedure, l’infrastruttura, o anche il solo bersaglio. Ad ogni modo, i fatti, in questo specifico caso, suggeriscono il contrario. I target sono differenti sia nella quantità (molti contro pochi) che nelle caratteristiche (geopolitici contro commerciali). Inoltre il periodo di sovrapposizione con le infrastrutture di C2 è relativamente breve, suggerendo che potrebbe anche esserci stato un errore, un’imprecisione nei sistemi di sicurezza ed operatività del malware.
