Salta al contenuto
14 julio 2026

Descubren un troyano de acceso remoto basado en Rust que simula ser de NVIDIA

Investigadores de ciberseguridad han descubierto LabubaRAT, un troyano de acceso remoto basado en Rust que simula ser software de NVIDIA para infiltrarse en sistemas.

Descubren un troyano de acceso remoto basado en Rust que simula ser de NVIDIA

En el mundo de la ciberseguridad, los atacantes están constantemente desarrollando nuevas tácticas para eludir las defensas y acceder a sistemas comprometidos. Recientemente, los investigadores de Blackpoint CyberSam Decker y Nevan Beal han identificado un nuevo troyano de acceso remoto (RAT) basado en Rust, al que han denominado LabubaRAT. Este malware se disfraza de software de NVIDIA para pasar desapercibido en los entornos objetivo.

LabubaRAT es una herramienta sofisticada que, una vez desplegada, puede realizar una serie de acciones peligrosas. Entre sus capacidades se incluyen la perfilación del host la identificación de herramientas de seguridad, la recepción de comandos del operador, el movimiento de archivos, la captura de pantallas y el proxy de tráfico a través del sistema afectado. Además, el malware soporta múltiples métodos de comunicación, como HTTPS, WebView2 y túneles DNS lo que permite a los atacantes mantener el acceso incluso si una de las vías de comunicación es detectada y cerrada.

El punto de partida del ataque

El punto de inicio de la cadena de ataque es un ejecutable llamado nvidia-sysruntime.exe que simula ser parte del kit de herramientas de runtime de contenedores de NVIDIA. A diferencia de otros malware que codifican de manera rígida la información de su servidor de comando y control (C2), LabubaRAT acepta una configuración de tiempo de ejecución a través de argumentos de línea de comandos. Esto permite al operador del ataque definir varios parámetros clave para establecer la comunicación con el servidor remoto, incluyendo los detalles del servidor (pipicka[.]xyz) y el intervalo de sondeo utilizado por el implante.

Los investigadores señalaron que, debido a que estos valores se proporcionan al iniciar el malware, el mismo binario compilado puede ser reutilizado con diferentes infraestructuras, organizaciones o agrupaciones de campañas, en lugar de depender de un servidor codificado de manera rígida. La configuración se almacena luego en una base de datos local SQLite, y el malware realiza operaciones de descubrimiento para inventariar la lista de navegadores web y productos de seguridad instalados en el host.

Capacidades y funcionalidades de LabubaRAT

Una vez lanzado, LabubaRAT soporta una amplia gama de funciones, como la ejecución de comandos, la ejecución de PowerShell, la ejecución de JavaScript, la captura de pantallas, la subida y descarga de archivos, el manejo de archivos comprimidos y el soporte para proxy SOCKS5. Estas capacidades permiten al operador interactuar con el host, mover archivos dentro y fuera del entorno, enrutar tráfico a través del sistema y mantener el acceso sin depender de un cargador separado o de una herramienta de seguimiento de alcance limitado.

El malware también realiza un perfilado exhaustivo del host recopilando información como el nombre del host, el tamaño de la RAM, el modelo de la CPU y el estado del Control de Cuentas de Usuario de Windows (UAC). Esta información ayuda a preparar el entorno para las siguientes etapas del ataque, ya que algunas funcionalidades del RAT pueden verse dictadas por las herramientas de seguridad presentes en el sistema.

El modelo de malware como servicio

Existen indicios de que LabubaRAT podría estar siendo ofrecido bajo un modelo de malware como servicio (MaaS). Este modelo permite a los atacantes sin habilidades técnicas avanzadas acceder a herramientas sofisticadas de malware, facilitando la realización de ciberataques. La estructura modular y configurable de LabubaRAT lo hace ideal para este tipo de distribución, ya que puede ser adaptado y reutilizado en múltiples campañas.

El nombre del malware hace referencia al título LabubaPanel asociado con su infraestructura C2 y un favicon temático de Labubu. Los investigadores destacaron que la muestra combinó la configuración de tiempo de ejecución, el estado local, el perfilado del host, múltiples vías de comunicación y las tareas del operador en una herramienta de acceso remoto completa. Esto proporciona a los operadores una manera práctica de inscribir hosts, comprender el entorno alrededor de cada agente, ejecutar comandos, mover archivos, capturar pantallas, proxy de tráfico y mantener el autostart a nivel de usuario.

Su diseño modular y su capacidad para eludir las defensas de seguridad lo convierten en una herramienta poderosa en el arsenal de los ciberdelincuentes. Los investigadores continúan monitoreando su evolución y desarrollo para proporcionar las medidas de mitigación necesarias y proteger a los usuarios de esta creciente amenaza.

Autore

Diego Morales

Diego Morales escribe igual de bien sobre la táctica de un derbi madrileño y una ruta gastronómica por Asturias. Periodismo deportivo con contexto y crónica de viaje con itinerario real.