KarstoRAT là một remote access trojan mới được phát hiện trong các môi trường sandbox và kho mẫu mã độc từ đầu năm 2026. Đây là một mối đe dọa mạng nhắm vào hệ thống Windows, với khả năng điều khiển từ xa trên máy bị xâm nhập, bao gồm chụp webcam, ghi âm, keylogging, đánh cắp ảnh chụp màn hình và tải thêm payload theo yêu cầu.
Đặc điểm chính của KarstoRAT
Mẫu phân tích là một file thực thi Windows 64-bit, được biên dịch bằng Microsoft Visual Studio 2022, với timestamp debug là 16/02/2026. KarstoRAT được thiết kế để trao cho kẻ điều hành quyền kiểm soát rộng trên hệ thống ngay từ khi chạy lần đầu.
Malware giao tiếp với máy chủ command-and-control (C2) được hardcode tại 212.227.65[.]132 qua cổng 15144, sử dụng WinINet cho toàn bộ lưu lượng outbound. Sau khi khởi chạy, nó gửi heartbeat mỗi 2 giây để duy trì kết nối liên tục với máy chủ.
Phân tích cho thấy mẫu có entropy trung bình và không dùng packing. Điều này giúp quá trình reverse engineering dễ tiếp cận hơn so với các mẫu được đóng gói hoặc làm rối mạnh.
Hạ tầng C2 và cơ chế che giấu lưu lượng
Hạ tầng C2 của KarstoRAT hoạt động trên nhiều cổng và dịch vụ khác nhau, gồm SSH tunnels, Node.js APIs và một VMess proxy đi qua Cloudflare Argo WebSocket trên cổng 443. Dấu vân tay TLS được đặt giống Firefox để giảm khả năng bị phát hiện.
Thiết kế nhiều lớp này giúp lưu lượng độc hại hòa lẫn vào traffic bình thường và duy trì truy cập trong các môi trường mạng bị hạn chế. Với cảnh báo CVE kiểu này, IOC mạng là thành phần quan trọng để phát hiện sớm.
- C2 IP: 212.227.65[.]132
- Port: 15144
- Port bổ sung: 13614
- User-Agent: SecurityNotifier
Khả năng giám sát và đánh cắp dữ liệu
KarstoRAT hỗ trợ nhiều chức năng xâm nhập trái phép trên máy nạn nhân. Khi nhận lệnh, nó vào vòng polling vô hạn với chu kỳ 2 giây và chờ lệnh từ C2.
Webcam capture
Module webcam, kích hoạt bằng lệnh WEBCAM, tạo một cửa sổ capture ẩn, kết nối đến webcam mặc định, lấy một khung hình tĩnh, lưu thành file tạm webcap.bmp, sau đó upload lên endpoint /upload-webcam rồi xóa khỏi đĩa. Không có cửa sổ nào xuất hiện trên màn hình và người dùng không nhận được cảnh báo trực quan.
Audio recording
Chức năng ghi âm dùng Windows Multimedia Command Interface (MCI) để mở microphone âm thầm, ghi âm theo thời lượng do attacker chỉ định, lưu kết quả thành file tạm WAV, rồi upload lên /upload-audio. Quá trình ghi âm chạy trong một background thread riêng để giữ luồng chính phản hồi bình thường.
Keylogging
Keylogger cài SetWindowsHookExA để hook bàn phím cấp thấp và thu thập toàn bộ phím bấm trên mọi ứng dụng đang hoạt động. Dữ liệu được gửi tới endpoint /upload-keylog qua HTTP POST.
Cơ chế duy trì hiện diện và leo thang đặc quyền
KarstoRAT sử dụng ba cách persistence khác nhau để giữ chỗ đứng trên hệ thống bị xâm nhập. Đây là một dấu hiệu phổ biến trong các mối đe dọa mạng có mục tiêu duy trì truy cập dài hạn.
- Registry Run key: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SecurityService
- Scheduled Task: SystemCheck
- Startup folder: sao chép chính nó vào thư mục khởi động của Windows
Malware cũng sử dụng fodhelper.exe để bypass UAC và giành quyền nâng cao mà không hiển thị prompt bảo mật cho người dùng. Đây là một kỹ thuật đáng chú ý trong bối cảnh remote code execution và kiểm soát cục bộ sau khi xâm nhập.
Chuỗi phân phối và kỹ thuật lừa tải
Điểm đáng chú ý của KarstoRAT là cách phân phối dựa trên social engineering. C2 host một website giả mạo liên quan đến giao dịch game và một bảng tải cheat để dụ người dùng tải và thực thi malware.
Trang giả nhắm vào người dùng Roblox bằng lời hứa về vật phẩm giá rẻ, trong khi panel khác lôi kéo người dùng mod game bằng các “premium game cheats”. Hai bề mặt này đều được thiết kế để khiến nạn nhân tự chạy payload độc hại.
Đây là mô hình phân phối điển hình của một trojan truy cập từ xa: không cần khai thác zero-day, mà tận dụng thao túng hành vi người dùng để đưa mã độc vào hệ thống.
IOC và chỉ báo phát hiện xâm nhập
- IP C2: 212.227.65[.]132
- Cổng: 15144, 13614
- User-Agent: SecurityNotifier
- Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SecurityService
- Scheduled Task: SystemCheck
- File tạm webcam: webcap.bmp
- Endpoint: /upload-webcam, /upload-audio, /upload-keylog
Khuyến nghị phát hiện và giảm thiểu
Để phát hiện tấn công sớm, cần chặn ngay IP C2 212.227.65[.]132 và giám sát kết nối tới các cổng 15144 và 13614. Log mạng cũng nên được rà soát với chuỗi user agent SecurityNotifier.
Nhóm bảo mật cần kiểm tra các khóa registry dưới HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SecurityService và các Scheduled Task tên SystemCheck. EDR nên được cấu hình để gắn cờ mọi trường hợp fodhelper.exe đi kèm thay đổi registry trong HKCU.
Một nguồn tham khảo đáng tin cậy về thực thể và điều tra IOC có thể xem tại LevelBlue.
Người dùng nên tránh tải game cheats hoặc công cụ trading từ nguồn bên thứ ba không được xác minh, vì đây là vector phân phối chính của KarstoRAT.
