Hacking
Starland RAT: νέα απειλή που στοχεύει κρυπτοπορτοφόλια
Μια σύνθετη καμπάνια malware με το Starland RAT και τον fileless WLDR agent στοχεύει χρήστες και εταιρίες, κλέβοντας credentials και πάνω από 40 πορτοφόλια κρυπτονομισμάτων μέσω trojanized installers, in-memory loaders και blockchain-based fallback.
Μια νέα, σύνθετη καμπάνια malware που επικεντρώνεται στην κλοπή διαπιστευτηρίων και πορτοφολιών κρυπτονομισμάτων έχει εντοπιστεί από ερευνητές. Η απειλή, με κύριο εργαλείο το Starland RAT και συνοδευτικό έναν fileless PowerShell agent ονομαζόμενο WLDR, δείχνει οργανωμένη, ευέλικτη και σχεδιασμένη για να παρακάμπτει κοινά συστήματα ανίχνευσης.
Σύμφωνα με την αναφορά της Cisco Talos, ο επιτιθέμενος, που χαρακτηρίζεται ως UAT-11795, είναι ρωσόφωνος και έχει διεξάγει επιθέσεις τουλάχιστον από τον Ιούνιο του 2025, στοχεύοντας κυρίως χρήστες στις ΗΠΑ και σε τμήματα της Ευρώπης. Το πιο ανησυχητικό στοιχείο είναι ο ξεκάθαρος οικονομικός στόχος: συλλογή διαπιστευτηρίων και συστημάτων όπου φιλοξενούνται κρυπτοπορτοφόλια.
Τι είναι το Starland RAT και ποιος το χειρίζεται
Το Starland RAT είναι ένα Remote Access Trojan γραμμένο σε Python και σχεδιασμένο για εκτέλεση σε περιβάλλοντα Windows. Ο φορέας της καμπάνιας φαίνεται να λειτουργεί σαν επαγγελματική ομάδα, με οργανωμένη υποδομή Command-and-Control, ιδιωτικά κανάλια και χρήση εργαλείων τρίτων για δεύτερα payloads και persistence.
Η αναφορά αποδίδει την καμπάνια σε έναν financially motivated, ρωσόφωνο φορέα που χρησιμοποιεί τόσο παραδοσιακές όσο και καινοτόμες τεχνικές — από social engineering μέχρι blockchain-based fallback μηχανισμούς — δείχνοντας επίπεδο ωριμότητας πολύ πάνω από τον μέσο όρο των commodity stealer kits.
Πώς μολύνει τα θύματα: ολόκληρη η αλυσίδα επίθεσης
Η πρώτη επαφή με το θύμα γίνεται μέσω social engineering τύπου ClickFix: τα θύματα πείθονται να τρέξουν εντολές που ενεργοποιούν ένα κακόβουλο HTA αρχείο μέσα από το mshta.exe. Αυτό είναι ένα κλασικό trick που εκμεταλλεύεται νόμιμες εκτελέσιμες διεργασίες των Windows για να παρακάμψει απλές πολιτικές ασφαλείας.
Το HTA dropper εγκαθιστά έναν trojanized installer που περιλαμβάνει ένα ενσωματωμένο Python runtime και έναν αποκρυπτογραφημένο/αποκρυπτογραφημένο loader που μεταμφιέζεται ως αρχείο LICENSE.txt. Η εκτέλεση γίνεται μέσω ενός τροποποιημένου NSIS installer script, μια τεχνική που επιτρέπει τη διανομή φακέλων που μοιάζουν νόμιμοι αλλά περιέχουν κακόβουλο φορτίο.
Εκτέλεση στη μνήμη και τεχνικά χαρακτηριστικά
Αφού ενεργοποιηθεί, ο Python loader αποκρυπτογραφεί και εκτελεί το Starland RAT απευθείας στη μνήμη χρησιμοποιώντας XOR obfuscation με κλειδί 0xC6. Η εκτέλεση in-memory μειώνει τα ίχνη στον δίσκο και δυσκολεύει την εντοπισμό από signature-based scanners.
Το RAT αξιοποιεί τη βιβλιοθήκη ctypes για να επιλύσει δυναμικά κλήσεις σε Win32 API όπως VirtualAllocEx και CreateRemoteThread, επιτρέποντας process injection και απομακρυσμένη εκτέλεση χωρίς στατικές εισαγωγές. Αυτή η προσέγγιση επιβραδύνει τον στατικό αναλυτή και αυξάνει την επιβίωση έναντι απλών ελέγχων EDR.
Αντι-ανάλυση, persistence και καταγραφή συστήματος
Πριν προχωρήσει, το malware εκτελεί checks για γνωστά sandbox user/host ονόματα όπως WDAGUtilityAccount, καθώς και περιβάλλοντα τύπου Cuckoo και Any.Run. Αν εντοπιστεί τέτοιο περιβάλλον, ο κώδικας τερματίζει γρήγορα για να αποφεύγει την ανάλυση.
Για να επιμείνει στο σύστημα, το Starland RAT δημιουργεί scheduled tasks με πρότυπο PythonLauncher-{random} και shortcuts στο Startup folder, ενώ επιχειρεί privilege escalation μέσω ShellExecuteW με το verb “runas”. Παράλληλα συλλέγει στοιχεία reconnaissance—HWID, μέγεθος RAM, πληροφορίες antivirus και context Active Directory χρησιμοποιώντας εντολές όπως Get-CimInstance και nltest /dclist.
Στις ενδεικτικές λειτουργίες βρίσκονται και φωτογραφίες οθόνης του θύματος που κωδικοποιούνται και αποστέλλονται μαζί με το profiling data, παρέχοντας στον επιτιθέμενο πλήρη εικόνα του περιβάλλοντος εργασίας.
Πώς στοχεύει κρυπτοπορτοφόλια και credentials
Μια από τις κεντρικές ικανότητες του Starland RAT είναι η εντοπισμός και η καταγραφή πορτοφολιών κρυπτονομισμάτων. Το εργαλείο κάνει enumeration σε πάνω από 40 browser-based και desktop wallet εφαρμογές, συγκεντρώνοντας αρχεία, seed phrases και credentials σε ένα JSON αντικείμενο.
Τα αποτελέσματα κρυπτογραφούνται με XOR κλειδί “helo1” και αποστέλλονται μέσω HTTP POST χρησιμοποιώντας spoofed Chrome user-agent, τεχνική που αποσκοπεί στο να μοιάζει η κίνηση με κανονική περιήγηση. Πριν την πλήρη εξαγωγή, metadata για το σύστημα και η ύπαρξη πορτοφολιών αναφέρονται σε attacker-controlled Telegram bots όπως skuefq_bot και komandastuk_bot, δίνοντας άμεση ορατότητα στους χειριστές για συγκέντρωση γρήγορων “targets of interest”.
Διανεμημένη υποδομή και blockchain fallback
Η υποδομή C2 είναι κατανεμημένη και σχεδιασμένη να εναρμονίζεται με νόμιμη κίνηση. Domains όπως eorthopaedics.com, sastoro.com και web-devtools.com φιλοξενούν staged payloads κάτω από παραπλανητικά paths όπως /feed/ και /alpha/, ενώ βασικοί κόμβοι C2 περιλαμβάνουν windowscreenrepairnearme.com και aipythondevs.com.
Σημαντική καινοτομία είναι η χρήση blockchain ως μηχανισμός ανθεκτικότητας: ενσωμάτωση fallback μέσω ενός smart contract στο Polygon με διεύθυνση 0x6ae382ed2154cc84c6672e4e908cd2c69c1b35ba. Το RAT ανακτά ένα XOR-κρυπτογραφημένο backup C2 domain μέσω eth_call requests προς polygon-rpc.com, εξασφαλίζοντας συνέχεια ακόμη κι αν ο αρχικός C2 κατέβει.
Δευτερεύοντα payloads και ο ρόλος του WLDR agent
Μετά τη διείσδυση, οι χειριστές προωθούν επιπλέον φορτία όπως το .NET credential stealer CastleStealer και το Remcos RAT για πιο μόνιμη απομακρυσμένη πρόσβαση. Αυτή η πολυεπίπεδη προσέγγιση δείχνει ότι η ομάδα δεν στηρίζεται σε ένα μόνο εργαλείο αλλά σε ισχυρή σύνθεση εργαλείων.
Παράλληλα, η ομάδα διέθεσε και το WLDR agent: ένα fileless PowerShell implant που εκτελείται σε μνήμη χρησιμοποιώντας Runspace-based μηχανισμό, με κρυπτογραφημένα beaconing patterns και tasking δεμένο σε HWID. Το μοντέλο αυτό επιτρέπει παράλληλη εκτέλεση πολλαπλών επιβαλλόμενων modules χωρίς χρήση δίσκου, γεγονός που επιβαρύνει την παραδοσιακή ανίχνευση.
Στόχοι, διανομή και επιχειρησιακή ωριμότητα
Τα τηλεμετρικά και τα passive DNS δεδομένα δείχνουν συγκέντρωση επιθέσεων στις ΗΠΑ, με επιπλέον δείγματα δραστηριότητας σε Γερμανία, Ρουμανία και Βενεζουέλα. Η διανομή φαίνεται μαζική και opportunistic: τροποποιημένοι installers για κοινές εφαρμογές όπως MobaXterm, DBeaver, WebEx, Zoom και FACEIT υποδεικνύουν προσπάθεια να πιάσουν τόσο εταιρικά όσο και καταναλωτικά περιβάλλοντα.
Η εύρεση ιδιωτικού Telegram καναλιού με την ονομασία “stuk komanda”, ενεργού από τον Ιούνιο του 2025, επιβεβαιώνει τον συντονισμό και την ωριμότητα της ομάδας: ιδιωτικός χειρισμός, γρήγορη αναφορά αποτελεσμάτων και πιθανή χρήση του καναλιού ως C2 ή staging hub.
Τι σημαίνει για χρήστες και οργανισμούς
Η καμπάνια αυτή δείχνει πόσο επικίνδυνο είναι το συνδυασμένο παιχνίδι social engineering, in-memory εκτέλεσης και decentralized fallback. Για χρήστες κρυπτονομισμάτων, αυτό σημαίνει ότι browser wallets και desktop wallets δεν είναι πλέον επαρκώς ασφαλή αν τα συστήματα που τα φιλοξενούν δεν προστατεύονται επιμελώς. Hardware wallets και αυστηρή πολιτική MFA μπορούν να μειώσουν σημαντικά τον κίνδυνο απώλειας κεφαλαίων.
Για οργανισμούς, οι πρακτικές ανίχνευσης πρέπει να μετατοπιστούν προς behavior-based μοντέλα: παρακολούθηση ύποπτης χρήσης mshta.exe, παρουσία τροποποιημένων NSIS installers, anomalous eth_call traffic προς RPC endpoints και live scanning της μνήμης. Επιπλέον, application allowlisting, περιορισμός εκτέλεσης από startup folders και auditing των scheduled tasks μπορούν να περιορίσουν την επιτυχία τέτοιων επιθέσεων.
Η χρήση blockchain για fallback υπογραμμίζει επίσης την ανάγκη για νέου τύπου telemetry: παρακολούθηση DNS, HTTP headers με spoofed user-agents, και ενδο-δικτυακή ανάλυση για eth_call κλήσεις που δεν θα θεωρούνταν παραδοσιακά κακόβουλες. Η συνεργασία μεταξύ threat intelligence παρόχων, παρόχων cloud και ομάδων ασφαλείας είναι πια κρίσιμη για να αναχαιτιστεί ένα τέτοιο επιχειρησιακό μοντέλο.