Telegram es usado por Triton RAT para acceder y controlar sistemas de forma remota

Un artefacto de acceso remoto (RAT) de alto nivel de sofisticación, desarrollado en Python y denominado Triton, ha sido identificado como una amenaza de nivel APT (Advanced Persistent Threat), empleando la plataforma Telegram como infraestructura de C2 (Comando y Control).

Este código malicioso habilita a los actores de amenaza el control remoto de sistemas comprometidos (RCE), con un enfoque especializado en la exfiltración de credenciales de Roblox y cookies de autenticación persistente capaces de eludir mecanismos de 2FA (Autenticación de Dos Factores).

El ciclo de vida operacional del RAT inicia con la extracción de su token de bot de Telegram y el chat ID desde Pastebin, mediante URLs ofuscadas con codificación Base64, estableciendo así un canal C2 ofuscado para evadir mecanismos de detección basados en firmas.

Telegram token y chat ID codificada en Base64 (Fuente: CADO Security)

Una vez implantado, Triton despliega capacidades de post-explotación avanzadas, incluyendo:

• Keylogging (captura de pulsaciones).
• Credential dumping (extracción de contraseñas almacenadas).
• Screen scraping (captura de pantalla en tiempo real).
• Webcam hijacking (acceso no autorizado a dispositivos multimedia).
• Clipboard monitoring (exfiltración de datos sensibles en portapapeles).

Investigadores de Cado Security documentaron este artefacto durante el análisis forense de una campaña de compromisos, destacando su arquitectura modular y TTPs (Tácticas, Técnicas y Procedimientos) compatibles con operaciones de espionaje cibernético (cyber-espionage).

El reverse engineering del código reveló funciones diseñadas para la exfiltración metódica de credenciales almacenadas en navegadores (Chrome, Brave, Firefox) mediante API abuse, con énfasis en la extracción de la cookie .ROBLOSECURITY de Roblox, utilizada para bypass de 2FA.

Función utilizada para buscar y exfiltrar cookies de seguridad de Roblox (Fuente: CADO Security)

El vector inicial de infección se basa en técnicas de ingeniería social (pishing/lure delivery), seguido de un reconocimiento del sistema objetivo que incluye:

• Hardware fingerprinting (CPU, GPU, RAM).
• Network enumeration (direcciones IP, configuraciones de proxy).
• User account profiling (privilegios, historial de actividad).

Los datos recopilados se transmiten mediante API de Telegram en formato estructurado (JSON), permitiendo C2 interactivo y exfiltración síncrona.

Para garantizar persistencia, el RAT implementa:

1. Mecanismo de ofuscación de defensas:
   1. Generación de un script VBS (updateagent.vbs) que deshabilita Windows Defender mediante regedit y crea tareas programadas (Windows Task Scheduler). 

2. Descarga de payload de defensas:
   1. Ejecución de un script BAT (check.bat) que despliega un binario (ProtonDrive.exe) desde Dropbox, almacenado en una ruta ofuscada (%AppData%LocalProgramsProtonDrive) con atributos sistema/oculto.

2. Elevación de privilegios mediante UAC bypass para ejecución en contexto NT AUTHORITYSYSTEM.

Adicionalmente, el artefacto incorpora técnicas anti-forense:

• Process hollowing: Monitorización de procesos asociados a herramientas de análisis (ProcMon, Wireshark).
• Heuristic evasion: Detección de entornos sandboxed o máquinas virtuales (VMcheck).
• Code obfuscation: Ofuscación de strings críticas y flujo de control para dificultar el análisis estático.

Triton RAT representa un riesgo crítico debido a su enfoque en el robo de identidades digitales, capacidades de evasión avanzada y arquitectura multiplataforma. Su integración con servicios legítimos (Telegram, Dropbox) para C2 dificulta la atribución y detección, requiriendo contramedidas basadas en análisis de comportamiento (EDR/XDR) y hardening de endpoints.

Fuentes:

• Triton RAT leveraging Telegram to remotely access and control systems https://cybersecuritynews.com/triton-rat-leveraging-telegram/
• Python-based Triton RAT targeting Roblox Credentials https://www.cadosecurity.com/blog/python-based-triton-rat-targeting-roblox-credentials
• Python-Powered Triton RAT exfiltrates data via Telegram and evades analysis https://securityonline.info/python-powered-triton-rat-exfiltrates-data-via-telegram-and-evades-analysis/

La entrada Telegram es usado por Triton RAT para acceder y controlar sistemas de forma remota se publicó primero en Una Al Día.