Telegram es usado por Triton RAT para acceder y controlar sistemas de forma remota

Un artefacto de acceso remoto (RAT) de alto nivel de sofisticación, desarrollado en Python y denominado Triton, ha sido identificado como una amenaza de nivel APT (Advanced Persistent Threat), empleando la plataforma Telegram como infraestructura de C2 (Comando y Control).

Este código malicioso habilita a los actores de amenaza el control remoto de sistemas comprometidos (RCE), con un enfoque especializado en la exfiltración de credenciales de Roblox y cookies de autenticación persistente capaces de eludir mecanismos de 2FA (Autenticación de Dos Factores).

El ciclo de vida operacional del RAT inicia con la extracción de su token de bot de Telegram y el chat ID desde Pastebin, mediante URLs ofuscadas con codificación Base64, estableciendo así un canal C2 ofuscado para evadir mecanismos de detección basados en firmas.

Telegram token y chat ID codificada en Base64 (Fuente: CADO Security)

Una vez implantado, Triton despliega capacidades de post-explotación avanzadas, incluyendo:

Keylogging (captura de pulsaciones).
Credential dumping (extracción de contraseñas almacenadas).
Screen scraping (captura de pantalla en tiempo real).
Webcam hijacking (acceso no autorizado a dispositivos multimedia).
Clipboard monitoring (exfiltración de datos sensibles en portapapeles).

Investigadores de Cado Security documentaron este artefacto durante el análisis forense de una campaña de compromisos, destacando su arquitectura modular y TTPs (Tácticas, Técnicas y Procedimientos) compatibles con operaciones de espionaje cibernético (cyber-espionage).

El reverse engineering del código reveló funciones diseñadas para la exfiltración metódica de credenciales almacenadas en navegadores (Chrome, Brave, Firefox) mediante API abuse, con énfasis en la extracción de la cookie .ROBLOSECURITY de Roblox, utilizada para bypass de 2FA.

Función utilizada para buscar y exfiltrar cookies de seguridad de Roblox (Fuente: CADO Security)

El vector inicial de infección se basa en técnicas de ingeniería social (pishing/lure delivery), seguido de un reconocimiento del sistema objetivo que incluye:

Hardware fingerprinting (CPU, GPU, RAM).
Network enumeration (direcciones IP, configuraciones de proxy).
User account profiling (privilegios, historial de actividad).

Los datos recopilados se transmiten mediante API de Telegram en formato estructurado (JSON), permitiendo C2 interactivo y exfiltración síncrona.

Para garantizar persistencia, el RAT implementa:

Mecanismo de ofuscación de defensas:
1. Generación de un script VBS (updateagent.vbs) que deshabilita Windows Defender mediante regedit y crea tareas programadas (Windows Task Scheduler).

Descarga de payload de defensas:
1. Ejecución de un script BAT (check.bat) que despliega un binario (ProtonDrive.exe) desde Dropbox, almacenado en una ruta ofuscada (%AppData%\Local\Programs\Proton\Drive) con atributos sistema/oculto.

Elevación de privilegios mediante UAC bypass para ejecución en contexto NT AUTHORITY\SYSTEM.

Adicionalmente, el artefacto incorpora técnicas anti-forense:

Process hollowing: Monitorización de procesos asociados a herramientas de análisis (ProcMon, Wireshark).
Heuristic evasion: Detección de entornos sandboxed o máquinas virtuales (VMcheck).
Code obfuscation: Ofuscación de strings críticas y flujo de control para dificultar el análisis estático.

Triton RAT representa un riesgo crítico debido a su enfoque en el robo de identidades digitales, capacidades de evasión avanzada y arquitectura multiplataforma. Su integración con servicios legítimos (Telegram, Dropbox) para C2 dificulta la atribución y detección, requiriendo contramedidas basadas en análisis de comportamiento (EDR/XDR) y hardening de endpoints.

Fuentes:

Triton RAT leveraging Telegram to remotely access and control systems https://cybersecuritynews.com/triton-rat-leveraging-telegram/
Python-based Triton RAT targeting Roblox Credentials https://www.cadosecurity.com/blog/python-based-triton-rat-targeting-roblox-credentials
Python-Powered Triton RAT exfiltrates data via Telegram and evades analysis https://securityonline.info/python-powered-triton-rat-exfiltrates-data-via-telegram-and-evades-analysis/

Acerca de Karina Dudinskikh

Karina Dudinskikh Ha escrito 23 publicaciones.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	11 months	La cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy	11 months	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.

Telegram es usado por Triton RAT para acceder y controlar sistemas de forma remota

Acerca de Karina Dudinskikh

Publicaciones relacionadas

UAD

Aviso Legal

Acerca de Karina Dudinskikh

Compártelo:

Publicaciones relacionadas

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Footer

UAD

Aviso Legal