Bedreigingsactoren lokken nietsvermoedende gebruikers ertoe getrojaniseerde gaminghulpprogramma’s uit te voeren die via browsers en chatplatforms worden verspreid om een trojan voor externe toegang (RAT) te verspreiden.
“Een kwaadwillende downloader heeft een draagbare Java-runtime geënsceneerd en een kwaadaardig Java-archiefbestand (JAR) uitgevoerd met de naam jd-gui.jar”, zei het Microsoft Threat Intelligence-team in een bericht op X. “Deze downloader gebruikte PowerShell en living-off-the-land binaries (LOLBins) zoals cmstp.exe voor heimelijke uitvoering.”
De aanvalsketen is ook ontworpen om detectie te omzeilen door de initiële downloader te verwijderen en door Microsoft Defender-uitsluitingen voor de RAT-componenten te configureren.
Persistentie wordt bereikt door middel van een geplande taak en een Windows-opstartscript met de naam ‘world.vbs’, voordat de laatste payload op de getroffen host wordt geïmplementeerd. De malware is volgens Microsoft een “multifunctionele malware” die fungeert als lader, runner, downloader en RAT.
Eenmaal gelanceerd, maakt het verbinding met een externe server op “79.110.49(.)15” voor command-and-control (C2)-communicatie, waardoor het gegevens kan exfiltreren en extra payloads kan inzetten.
Als manier om zich tegen de dreiging te beschermen, wordt gebruikers geadviseerd om de uitsluitingen en geplande taken van Microsoft Defender te controleren, kwaadaardige taken en opstartscripts te verwijderen, getroffen eindpunten te isoleren en de inloggegevens opnieuw in te stellen voor gebruikers die actief zijn op besmette hosts.
De onthulling komt op het moment dat BlackFog details bekendmaakte over een nieuwe Windows RAT-malwarefamilie genaamd Steaelite, die in november 2025 voor het eerst op criminele forums werd geadverteerd als een “beste Windows RAT” met “volledig niet-detecteerbare” (FUD) mogelijkheden. Het is compatibel met zowel Windows 10 als 11.
In tegenstelling tot andere kant-en-klare RAT’s die aan criminele actoren worden verkocht, bundelt Steaelite gegevensdiefstal en ransomware en verpakt deze in één webpaneel, met een Android-ransomwaremodule op komst. Het paneel bevat ook verschillende ontwikkelaarstools om keylogging, client-to-slachtoffer-chat, zoeken naar bestanden, USB-verspreiding, wallpaper-aanpassing, UAC-bypass en clipper-functionaliteit te vergemakkelijken.
Andere opvallende kenmerken zijn onder meer het verwijderen van concurrerende malware, het uitschakelen van Microsoft Defender, het configureren van uitsluitingen en het installeren van persistentiemethoden.
Wat de belangrijkste mogelijkheden betreft, ondersteunt Steaelite RAT uitvoering van code op afstand, bestandsbeheer, livestreaming, webcam- en microfoontoegang, procesbeheer, klembordmonitoring, wachtwoorddiefstal, opsomming van geïnstalleerde programma’s, locatietracking, uitvoering van willekeurige bestanden, openen van URL’s, DDoS-aanvallen en VB.NET-payloadcompilatie.
“De tool geeft operators browsergebaseerde controle over geïnfecteerde Windows-machines, waaronder het uitvoeren van code op afstand, diefstal van inloggegevens, live surveillance, bestandsexfiltratie en ransomware-implementatie vanaf één enkel dashboard”, aldus beveiligingsonderzoeker Wendy McCague.
“Eén enkele bedreigingsacteur kan vanuit hetzelfde dashboard door bestanden bladeren, documenten exfiltreren, inloggegevens verzamelen en ransomware inzetten. Dit maakt volledige dubbele afpersing vanuit één tool mogelijk.”
In de afgelopen weken hebben dreigingsjagers ook twee nieuwe RAT-families ontdekt, gevolgd als DesckVB RAT en KazakRAT, die uitgebreide controle op afstand over geïnfecteerde hosts mogelijk maken en zelfs selectief mogelijkheden inzetten na een compromittering. Volgens Ctrl Alt Intel wordt KazakRAT ervan verdacht het werk te zijn van een vermoedelijk aan de staat gelieerd cluster dat zich richt op Kazachse en Afghaanse entiteiten als onderdeel van een aanhoudende campagne die ten minste sinds augustus 2022 loopt.
