ResolverRAT: La nueva amenaza cibernética que acecha al sector salud y farmacéutico

En abril de 2025, investigadores de Morphisec Labs identificaron una nueva variante de malware denominada ResolverRAT, un troyano de acceso remoto (RAT) que ha sido utilizado en ataques dirigidos a organizaciones de los sectores salud y farmacéutico a nivel mundial. Este malware destaca por su capacidad de ejecución en memoria y técnicas avanzadas de evasión, lo que dificulta su detección por soluciones de seguridad tradicionales. 

¿Qué es ResolverRAT?

ResolverRAT es un troyano que permite a los atacantes obtener control remoto sobre sistemas infectados. Su nombre proviene de su uso intensivo de mecanismos de resolución en tiempo de ejecución y manejo dinámico de recursos, lo que complica su análisis estático y conductual. 

Objetivos del ataque

Los ataques con ResolverRAT han tenido como blanco principal a organizaciones de los sectores salud y farmacéutico. Se han observado campañas en múltiples países, incluyendo Italia, República Checa, India, Turquía, Portugal e Indonesia, lo que indica una operación global con tácticas de phishing localizadas para aumentar la efectividad. 

Técnicas de infección y evasión

• Phishing localizado: Los atacantes envían correos electrónicos en el idioma local del objetivo, utilizando temas como investigaciones legales o violaciones de derechos de autor para incitar al usuario a descargar archivos maliciosos.

• Carga lateral de DLL: Utilizan ejecutables legítimos, como hpreader.exe, para cargar DLLs maliciosas en memoria, evitando la escritura en disco y dificultando la detección. 

• Ejecución en memoria: El malware opera completamente en memoria, utilizando eventos de resolución de recursos en .NET para cargar ensamblados maliciosos sin llamadas API que puedan ser detectadas. 

• Persistencia: Crea múltiples entradas en el registro de Windows y se instala en diversas ubicaciones del sistema para asegurar su permanencia. 

• Exfiltración de datos: Implementa un mecanismo de fragmentación de datos, dividiendo archivos grandes en bloques de 16KB para su transmisión, lo que ayuda a evadir sistemas de detección de tráfico anómalo. 

Comparación con otras amenazas

Aunque comparte infraestructura de phishing con malware como Rhadamanthys y Lumma, ResolverRAT presenta una arquitectura de carga y payload distinta, lo que ha llevado a los investigadores a clasificarlo como una nueva familia de malware. 

Recomendaciones de seguridad

• Capacitación en ciberseguridad: Educar a los empleados sobre los riesgos del phishing y cómo identificar correos electrónicos sospechosos.

• Actualización de sistemas: Mantener todos los sistemas y software actualizados para corregir vulnerabilidades conocidas.

• Monitoreo de red: Implementar soluciones de monitoreo que detecten comportamientos anómalos y tráfico sospechoso.

• Respaldo de datos: Realizar copias de seguridad periódicas y verificar su integridad para garantizar la recuperación en caso de infección.

ResolverRAT representa una amenaza significativa debido a sus técnicas avanzadas de evasión y su enfoque en sectores críticos como la salud y la farmacéutica. La implementación de medidas proactivas y la concienciación del personal son esenciales para mitigar el riesgo de infección.