Cybersecurity-onderzoekers vestigen de aandacht op een nieuwe campagne die gebruik maakt van door GitHub gehoste Python-opslagplaatsen om een voorheen ongedocumenteerde, op JavaScript gebaseerde Remote Access Trojan (RAT) genaamd PyStoreRAT.
“Deze opslagplaatsen, vaak met als thema ontwikkelingshulpprogramma’s of OSINT-tools, bevatten slechts een paar regels code die verantwoordelijk zijn voor het stil downloaden van een extern HTA-bestand en het uitvoeren ervan via ‘mshta.exe'”, zei Morphisec-onderzoeker Yonatan Edri in een rapport gedeeld met The Hacker News.
PyStoreRAT is beschreven als een “modulair, meertraps” implantaat dat EXE-, DLL-, PowerShell-, MSI-, Python-, JavaScript- en HTA-modules kan uitvoeren. De malware zet ook een informatiedief in, bekend als Rhadamanthys, als vervolglading.
Aanvalsketens omvatten het verspreiden van de malware via Python- of JavaScript-laderstubs die zijn ingebed in GitHub-repository’s, vermomd als OSINT-tools, DeFi-bots, GPT-wrappers en hulpprogramma’s met beveiligingsthema’s die zijn ontworpen om analisten en ontwikkelaars aan te spreken.
De eerste tekenen van de campagne dateren van medio juni 2025, en sindsdien is er een gestage stroom van ‘repositories’ gepubliceerd. De tools worden gepromoot via sociale mediaplatforms zoals YouTube en X, en verhogen de star- en fork-statistieken van de repositories kunstmatig – een techniek die doet denken aan het Stargazers Ghost Network.
De bedreigingsactoren achter de campagne maken gebruik van nieuw aangemaakte GitHub-accounts of accounts die al maanden inactief zijn om de repository’s te publiceren, waarbij ze in oktober en november heimelijk de kwaadaardige lading in de vorm van ‘onderhouds’-verplichtingen weggooiden, nadat de tools aan populariteit begonnen te winnen en op de toptrendinglijsten van GitHub terechtkwamen.
In feite functioneerden veel van de tools niet zoals geadverteerd, waarbij in sommige gevallen alleen statische menu’s of niet-interactieve interfaces werden weergegeven, terwijl andere minimale tijdelijke aanduidingsbewerkingen uitvoerden. De bedoeling achter de operatie was om hen een laagje legitimiteit te verlenen door het inherente vertrouwen van GitHub te misbruiken en gebruikers te misleiden om de loader-stub uit te voeren die verantwoordelijk is voor het initiëren van de infectieketen.
Dit activeert effectief de uitvoering van een externe HTML-applicatie (HTA) die op zijn beurt de PyStoreRAT-malware aflevert, die wordt geleverd met mogelijkheden om het systeem te profileren, te controleren op beheerdersrechten en het systeem te scannen op cryptocurrency-portemonnee-gerelateerde bestanden, met name die geassocieerd met Ledger Live, Trezor, Exodus, Atomic, Guarda en BitBox02.
De loader-stub verzamelt een lijst met geïnstalleerde antivirusproducten en controlereeksen die overeenkomen met “Falcon” (een verwijzing naar CrowdStrike Falcon) of “Reason” (een verwijzing naar Cybereason of ReasonLabs), waarschijnlijk in een poging de zichtbaarheid te verminderen. Als ze worden gedetecteerd, wordt “mshta.exe” gestart via “cmd.exe”. Anders gaat het verder met de directe uitvoering van “mshta.exe”.
Doorzettingsvermogen wordt bereikt door een geplande taak in te stellen die is vermomd als een zelfupdate van de NVIDIA-app. In de laatste fase maakt de malware contact met een externe server om opdrachten op te halen die op de host moeten worden uitgevoerd. Enkele van de ondersteunde opdrachten worden hieronder vermeld:
- Download en voer EXE-payloads uit, inclusief Rhadamanthys
- ZIP-archieven downloaden en uitpakken
- Downloadt een kwaadaardige DLL en voert deze uit met “rundll32.exe”
- Haal onbewerkte JavaScript-code op en voer deze dynamisch uit in het geheugen met behulp van eval()
- Download en installeer MSI-pakketten
- Breng een secundair “mshta.exe”-proces voort om extra externe HTA-payloads te laden
- Voer PowerShell-opdrachten rechtstreeks in het geheugen uit
- Verspreiding via verwisselbare schijven door legitieme documenten te vervangen door kwaadaardige Windows Shortcut-bestanden (LNK).
- Verwijder de geplande taak om het forensische spoor te verwijderen
Het is momenteel niet bekend wie er achter de operatie zit, maar de aanwezigheid van Russischtalige artefacten en coderingspatronen zinspeelt op een bedreigingsacteur van waarschijnlijk Oost-Europese afkomst, zei Morphisec.
“PyStoreRAT vertegenwoordigt een verschuiving naar modulaire, op scripts gebaseerde implantaten die zich kunnen aanpassen aan beveiligingscontroles en meerdere payload-formaten kunnen leveren”, besluit Edri. “Het gebruik van HTA/JS voor de uitvoering, Python-laders voor de levering en Falcon-bewuste ontwijkingslogica creëert een heimelijke eerste fase die traditionele EDR-oplossingen pas laat in de infectieketen detecteren.”
De onthulling komt op het moment dat de Chinese beveiligingsleverancier QiAnXin een andere nieuwe trojan voor externe toegang (RAT) met de codenaam SetcodeRat heeft beschreven, die waarschijnlijk sinds oktober 2025 door het hele land wordt verspreid via malvertising-lokmiddelen. Honderden computers, waaronder die van overheden en bedrijven, zouden in een tijdsbestek van een maand zijn geïnfecteerd.
“Het kwaadaardige installatiepakket zal eerst de regio van het slachtoffer verifiëren”, aldus het QiAnXin Threat Intelligence Center. “Als het zich niet in het Chineestalige gebied bevindt, wordt het automatisch verlaten.”
De malware is vermomd als legitieme installatieprogramma’s voor populaire programma’s zoals Google Chrome en gaat alleen door naar de volgende fase als de systeemtaal overeenkomt met het vasteland van China (Zh-CN), Hong Kong (Zh-HK), Macao (Zh-MO) en Taiwan (Zh-TW). Het beëindigt ook de uitvoering als een verbinding met een Bilibili-URL (“api.bilibili(.)com/x/report/click/now”) mislukt.
In de volgende fase wordt een uitvoerbaar bestand met de naam “pnm2png.exe” gelanceerd om “zlib1.dll” te sideloaden, dat vervolgens de inhoud van een bestand met de naam “qt.conf” decodeert en uitvoert. De gedecodeerde payload is een DLL waarin de RAT-payload is ingesloten. SetcodeRat kan verbinding maken met Telegram of met een conventionele command-and-control (C2)-server om instructies op te halen en gegevensdiefstal uit te voeren.
Het stelt de malware in staat schermafbeeldingen te maken, toetsaanslagen te loggen, mappen te lezen, mappen in te stellen, processen te starten, “cmd.exe” uit te voeren, socketverbindingen in te stellen, systeem- en netwerkverbindingsinformatie te verzamelen en zichzelf bij te werken naar een nieuwe versie.
