Verschillende ransomware -acteurs gebruiken een malware genaamd Skitnet Als onderdeel van hun inspanningen na de exploitatie om gevoelige gegevens te stelen en afstandsbediening te stellen over gecompromitteerde hosts.
“Skitnet is sinds april 2024 verkocht op underground forums zoals RAMP,” vertelde Swiss Cybersecurity Company Prostaft aan The Hacker News. “Sinds begin 2025 hebben we echter meerdere ransomware-operators waargenomen die het gebruiken in real-world aanvallen.”
“In april 2025 leverde Black Basta bijvoorbeeld skitnet in in phishingcampagnes met teams die zich richten op enterprise-omgevingen. Met zijn stealth-functies en flexibele architectuur lijkt Skitnet snel tractie te winnen binnen het ransomware-ecosysteem.”
Skitnetook wel genoemd Baasis een multi-fasen malware ontwikkeld door een dreigingsacteur die door het bedrijf wordt gevolgd onder de naam Larve-306. Een opmerkelijk aspect van het kwaadaardige hulpmiddel is dat het programmeertalen zoals Rust en NIM gebruikt om een omgekeerde shell te lanceren via DNS en detectie te ontwijken.
Het bevat ook persistentiemechanismen, externe toegangstools, opdrachten voor data -exfiltratie en download zelfs een .NET -lader binair dat kan worden gebruikt om extra payloads te bedienen, waardoor het een veelzijdige bedreiging is.
Voor het eerst geadverteerd op 19 april 2024, wordt Skitnet aangeboden aan potentiële klanten als een “compact pakket” bestaande uit een servercomponent en malware. Het eerste uitvoerbare bestand is een roestbinair dat de decodeert en een ingebedde lading uitvoert die is samengesteld in NIM.
“De primaire functie van dit NIM-binaire bestand is om een omgekeerde shell-verbinding tot stand te brengen met de C2 (command-and-control) server via DNS-resolutie,” zei PRODAFT. “Om detectie te ontwijken, maakt het gebruik van de GetProcadress -functie om API -functieadressen dynamisch op te lossen in plaats van traditionele importtabellen te gebruiken.”
Het op NIM gebaseerde binaire binair start verder met meerdere threads om DNS-aanvragen om de 10 seconden te verzenden, DNS-antwoorden te lezen en commando’s uit te pakken die op de host moeten worden uitgevoerd en de resultaten van de uitvoering van de opdracht terug naar de server verzenden. De opdrachten worden uitgegeven via een C2 -paneel dat wordt gebruikt om de geïnfecteerde hosts te beheren.
Sommige van de ondersteunde PowerShell -opdrachten worden hieronder vermeld –
- Startup, die zorgt voor persistentie door snelkoppelingen te maken in de opstartmap van het apparaat van het slachtoffer
- Scherm, dat een screenshot van het bureaublad van het slachtoffer vastlegt
- Anydesk/RutServ, die een legitieme externe desktopsoftware implementeert, zoals Anydesk of Remote Utilities (“Rutserv.exe”)
- Shell, om PowerShell -scripts uit te voeren die op een externe server worden gehost en de resultaten terugsturen naar de C2 -server
- AV, die een lijst verzamelt met geïnstalleerde beveiligingsproducten
“Skitnet is een multi-fasen malware die gebruik maakt van meerdere programmeertalen en coderingstechnieken,” zei PRODAFT. “Door roest te gebruiken voor payload decodering en handmatige toewijzing, gevolgd door een NIM-gebaseerde reverse shell die communiceert via DNS, probeert de malware traditionele beveiligingsmaatregelen te ontwijken.”
De openbaarmaking komt als ZScaler Threatlabz gedetailleerd een andere malware -lader genaamd TransferLoader die wordt gebruikt om een ransomware -stam te leveren genaamd Morpheus die zich richt op een Amerikaans advocatenkantoor.
TransfransLoader, sinds minstens februari 2025, bevat drie componenten, een downloader, een achterdeur en een gespecialiseerde lader voor de achterdeur, waardoor de dreigingsacteurs willekeurige opdrachten op het gecompromitteerde systeem kunnen uitvoeren.
Terwijl de downloader is ontworpen om een payload van een C2 -server op te halen en uit te voeren en tegelijkertijd een PDF Decoy -bestand uit te voeren, is de Backdoor verantwoordelijk voor het uitvoeren van opdrachten uitgegeven door de server, en zijn eigen configuratie bij te werken.
“De backdoor maakt gebruik van het gedecentraliseerde interplanetaire bestandssysteem (IPFS) peer-to-peer platform als een fallback-kanaal voor het bijwerken van de command-and-control (C2) -server,” zei het cybersecuritybedrijf. “De ontwikkelaars van transferloader gebruiken obfuscatiemethoden om het reverse engineeringproces vervelender te maken.”
