Para pelaku ancaman telah terpantau menyebarkan malware bernama NiceRAT untuk mengubah perangkat yang terinfeksi menjadi bagian dari botnet.
Serangan-serangan ini, yang menargetkan pengguna di Korea Selatan, dirancang untuk menyebarkan malware dengan kedok perangkat lunak bajakan, seperti Microsoft Windows, atau alat yang diklaim menawarkan verifikasi lisensi untuk Microsoft Office.
"Karena sifat program crack, berbagi informasi di antara pengguna biasa berkontribusi pada penyebaran malware secara independen dari distributor awal," kata Pusat Intelijen Keamanan AhnLab (ASEC).
"Karena pelaku ancaman biasanya menjelaskan cara menghapus program anti-malware selama fase distribusi, mendeteksi malware yang disebarkan menjadi sulit."
Vektor distribusi alternatif melibatkan penggunaan botnet yang terdiri dari komputer zombie yang diinfeksi oleh trojan akses jarak jauh (RAT) yang dikenal sebagai NanoCore RAT, mencerminkan aktivitas sebelumnya yang menggunakan malware Nitol DDoS untuk menyebarkan malware lain yang disebut Amadey Bot.
Keamanan siber NiceRAT adalah RAT open-source yang sedang dikembangkan secara aktif dan malware pencuri yang ditulis dalam Python yang menggunakan Discord Webhook untuk command-and-control (C2), memungkinkan pelaku ancaman menyedot informasi sensitif dari host yang terkompromi.
Pertama kali dirilis pada 17 April 2024, versi saat ini dari program ini adalah 1.1.0. Ini juga tersedia dalam versi premium, menurut pengembangnya, yang menunjukkan bahwa itu diiklankan di bawah model malware-as-a-service (MaaS).
Perkembangan ini terjadi di tengah kembalinya botnet penambangan cryptocurrency yang disebut Bondnet, yang telah terdeteksi menggunakan bot penambang berperforma tinggi sebagai server C2 sejak 2023 dengan mengonfigurasi proxy terbalik menggunakan versi modifikasi dari alat sah yang disebut Fast Reverse Proxy (FRP).