Nel panorama in continua evoluzione della sicurezza informatica, un nuovo attore minaccioso conosciuto come Dark Caracal ha attirato l'attenzione per il suo utilizzo del trojan di accesso remoto Poco RAT. Questo attacco ha preso di mira le aziende di lingua spagnola in America Latina nel 2024. Secondo Positive Technologies, azienda russa di cybersecurity, questo malware è dotato di una "gamma completa di funzionalità di spionaggio".

Poco RAT è in grado di caricare file, catturare schermate, eseguire comandi e manipolare i processi di sistema, rendendolo un potente strumento per il cyber spionaggio. L'infezione avviene attraverso catene caratterizzate da esche a tema finanziario che innescano un processo multi-passaggio per installare il malware. Sebbene inizialmente l'attacco non fosse stato attribuito a nessun gruppo specifico, Positive Technologies ha identificato sovrapposizioni nei metodi operativi con Dark Caracal, un gruppo APT noto per operare con famiglie di malware come CrossRAT e Bandook.

Le campagne più recenti continuano a concentrarsi sugli utenti di lingua spagnola, utilizzando email di phishing con temi legati alle fatture che contengono allegati dannosi scritti in spagnolo. Gli attacchi sono principalmente rivolti a imprese in Venezuela, Cile, Repubblica Dominicana, Colombia ed Ecuador. Gli allegati impersonano vari settori industriali, tra cui quello bancario, manifatturiero, sanitario, farmaceutico e logistico, per rendere l'attacco più credibile.

Una volta aperti, i file reindirizzano le vittime a un link che avvia il download di un archivio .rev da servizi di condivisione file legittimi come Google Drive e Dropbox. Gli archivi .rev, creati con WinRAR, sono originariamente progettati per ricostruire volumi mancanti o danneggiati in archivi multiparte, ma i criminali li ripropongono come contenitori di payload furtivi per aiutare il malware a sfuggire al rilevamento dei sistemi di sicurezza.

All'interno dell'archivio si trova un dropper basato su Delphi responsabile del lancio di Poco RAT, il quale stabilisce un contatto con un server remoto e concede agli attaccanti il controllo completo sui sistemi compromessi. Il malware prende il nome dall'uso delle librerie POCO nel suo codice C++.

Poco RAT supporta diversi comandi, tra cui l'invio dei dati di sistema raccolti al server di comando e controllo (C2), l'ottenimento e la trasmissione del titolo della finestra attiva al server C2, il download e l'esecuzione di un file eseguibile, la cattura di schermate, e l'esecuzione di comandi in cmd.exe con invio dei risultati al server C2. I ricercatori di Positive Technologies spiegano che "Poco RAT non dispone di un meccanismo di persistenza integrato", suggerendo che una volta completata la ricognizione iniziale, il server probabile emette un comando per stabilire la persistenza o gli aggressori possono usare Poco RAT come trampolino di lancio per distribuire il payload primario.