Researchers Warn of MystRodX Backdoor Using DNS and ICMP Triggers for Stealthy Control

Pesquisadores de segurança cibernética revelaram um novo backdoor furtivo chamado MystRodX que possui diversos recursos para capturar dados sensíveis de sistemas comprometidos.

Desenvolvido em C++, o MystRodX (também conhecido como ChronosRAT) oferece funcionalidades como gerenciamento de arquivos, encaminhamento de porta, shell reverso e gerenciamento de soquetes. Sua principal característica é a furtividade e flexibilidade, utilizando vários níveis de criptografia para ofuscar código-fonte e payloads.

A malware possui um "modo de ativação" que permite funcionar como backdoor passivo, sendo acionado através de pacotes de rede DNS ou ICMP especialmente elaborados. Evidências sugerem que o malware pode estar em atividade desde janeiro de 2024.

O MystRodX é distribuído por meio de um dropper que realiza verificações anti-debugging e anti-virtualização. Uma vez executado, o backdoor monitora processos continuamente e pode operar em modo ativo ou passivo, dependendo de sua configuração.

Sua configuração, criptografada com algoritmo AES, contém informações sobre servidores de comando e controle (C2), tipo de backdoor e portas principais e de backup. A abordagem de furtividade do MystRodX difere de backdoors tradicionais ao esconder instruções de ativação diretamente no payload de pacotes ICMP ou dentro de domínios de consulta DNS.