La scoperta va ascritta a Black Lotus Labs, il braccio di intelligence delle minacce di Lumen Technologies. Un malware per certi versi atipico, perché non attacca direttamente smartphone o computer, ma va dritto alla fonte: il router. 
Black Lotus Labs sta attualmente monitorando elementi di quella che sembra essere una sofisticata campagna che sfrutta i router SOHO infetti per colpire principalmente reti di interesse nordamericane ed europee.
“Abbiamo identificato un trojan di accesso remoto (RAT) multistadio sviluppato – spiegano da Black Lotus Labs – per i dispositivi SOHO, che garantisce all’autore delle minacce la possibilità di spostarsi nella rete locale e ottenere l’accesso a sistemi aggiuntivi sulla LAN, dirottando le comunicazioni di rete per mantenere un punto d’appoggio non rilevato”.
ZuoRAT è particolarmente sofisticato e dannoso
In pratica mentre il team IT di un ufficio può monitorare l’attività di un router e correggere le vulnerabilità, i telelavoratori raramente fanno lo stesso per i router dell’ufficio domestico. Da qui la nascita di nuovi malware, come ZuoRAT.
Identificato e descritto da Black Lotus Labs, il malware ZuoRAT è un trojan di accesso remoto (o RAT). Raccoglie e invia i dati privati di una vittima a un attore di minacce esterno, di solito un hacker o un gruppo di hacker. Ma ZuoRAT è particolarmente sofisticato e dannoso, per diversi motivi.
In primo luogo, ZuoRAT si rivolge ai router SOHO (piccole imprese/home office). Raccoglie ricerche DNS e traffico di rete dalle sue vittime: sono alcuni dati incredibilmente sensibili. Non aiuta il fatto che questo malware abbia due anni. Ha lentamente infettato i router dal 2020.
Rubare il traffico di rete è una cosa, ma ZuoRAT non è solo un malware passivo. Distribuisce due RAT aggiuntivi ai dispositivi connessi alla rete una volta che ha infettato un router. E una volta fatto, ZuoRAT può installare ancora più malware sui dispositivi su una rete locale. Questo attacco potrebbe consentire agli hacker di dirottare un’intera rete di PC, far crollare una piccola impresa con un ransomware o trasformare una rete locale in una botnet.
ZuoRAT è personalizzato sull’architettura MIPS ed è praticamente non rilevabile con l’attuale software di sicurezza. Inoltre, sfrutta le vulnerabilità senza patch nei router SOHO. Dati i dettagli, ZuoRAT potrebbe essere lo strumento di un potente gruppo di hacker o di uno stato-nazione aggressivo.
Il malware ZouRAT sembra infettare i router SOHO di Cisco, Netgear, Asus e DrayTek. Come la maggior parte dei malware per router, ZouRAT morirà se si riavvia il router, tuttavia rimuovere il malware da altri dispositivi sulla rete potrebbe essere un po’ complicato.
Chi possiede un router SOHO, fanno sapere da Black Lotus Labs, meglio aggiornarlo il prima possibile ed eseguire un update per l’ultimo firmware. Sperando che basti.