Dentro del Laberinto MetaRAT: Cómo Hackers Chinos Usaron Fallos de Ivanti para Infiltrar a los Gigantes Navieros de Japón

En una tranquila mañana de abril de 2025, el corazón digital de la industria naviera japonesa comenzó a fallar. Sin previo aviso, atacantes - operando en las sombras y armados con malware de última generación - se deslizaron más allá de las defensas, explotando grietas pasadas por alto en los dispositivos Ivanti Connect Secure. Lo que siguió fue un ejemplo de manual de ciberespionaje: precisión, sigilo y una escalofriante demostración de hasta dónde ha evolucionado el malware moderno.

Anatomía de una Infiltración Cibernética Moderna

La brecha comenzó con una táctica familiar pero potente: explotar vulnerabilidades sin parchear en los ampliamente desplegados dispositivos Ivanti Connect Secure (ICS). La firma japonesa de ciberseguridad LAC rastreó la incursión hasta las CVE-2024-21893 y CVE-2024-21887, fallos que abrieron las puertas a algunas de las redes de transporte y navegación más críticas de Japón.

Pero los atacantes no se conformaron con una simple intrusión. Aprovechando credenciales privilegiadas - algunas recolectadas de Active Directory - se movieron lateralmente, apuntando a servidores internos con una nueva generación de troyano de acceso remoto (RAT): MetaRAT, un descendiente de PlugX diseñado para el sigilo y la resiliencia.

MetaRAT: Evolución de un Depredador Digital

MetaRAT, escrito en C/C++, no es un RAT común. Activo al menos desde 2022, esta variante utiliza carga lateral de DLL y cargas cifradas para inyectarse directamente en la memoria, esquivando muchas defensas tradicionales. Su cargador (mytilus3.dll) y la carga cifrada “materoll” se activan mediante Reflective Loading, una técnica que dificulta exponencialmente su detección.

Bajo el capó, MetaRAT emplea cifrado AES-256, hash de API y funciones anti-depuración que autodestruyen las claves criptográficas si los analistas se acercan demasiado. Su comunicación es igualmente escurridiza: imita tráfico web inocuo (como archivos JavaScript o CSS), usando identificadores únicos como “Cookie-Yaga” para camuflarse y evitar la detección. Plugins modulares permiten keylogging, ejecución de comandos y túneles de puertos encubiertos.

Los atacantes también desplegaron Talisman PlugX, otra variante en evolución de PlugX, que utiliza tácticas de sigilo similares pero con firmas distintas - cambios sutiles en los encabezados diseñados para burlar las herramientas de seguridad modernas.

¿Quién Está Detrás del Telón?

Aunque la atribución siempre es compleja, el análisis de LAC apunta a grupos vinculados al Estado chino - Space Pirates, Calypso y quizás RedFoxtrot. La coincidencia en infraestructura y código de malware con familias como RainyDay y Turian refuerza su hipótesis. Es notable que los atacantes parecían más interesados en preparar el terreno - recolectando credenciales y asegurando persistencia - que en el robo inmediato de datos.

¿Qué Sigue?

Para los defensores, el mensaje es claro: parchear ahora, monitorear con vigilancia y buscar rastros reveladores como el archivo sospechoso VniFile.hlp o la clave de registro matesile. Con MetaRAT y sus semejantes evolucionando rápidamente, la complacencia no es una opción. El próximo capítulo de esta carrera armamentista cibernética ya se está escribiendo.