LabuBarat RAT

LabuBarat si finge software NVIDIA: il RAT Rust apre tunnel e proxy SOCKS5

🛡️ Executive Summary

  • LabuBarat si presenta come nvidia-sysruntime.exe e raccoglie informazioni su sistema, antivirus, browser, rete, dominio e stato UAC.
  • Il RAT esegue comandi CMD, PowerShell e JavaScript, acquisisce screenshot, trasferisce file e trasforma la vittima in un proxy SOCKS5.
  • La ricerca deve concentrarsi su binari NVIDIA non firmati, database nvctr_sys.db, autorun HKCU, file wupd_ e tunneling DNS anomalo.

LabuBarat è un nuovo strumento di accesso remoto scritto in Rust e progettato per compromettere sistemi Windows mascherandosi da componente NVIDIA. Il campione analizzato utilizza il nome nvidia-sysruntime.exe, incorpora metadati falsi riferiti a NVIDIA Corporation e si presenta come un presunto NVIDIA Container Runtime Monitor. Dietro questa copertura, il malware raccoglie informazioni dettagliate sull’host, riceve comandi remoti, acquisisce screenshot, trasferisce file e attiva un proxy SOCKS5 attraverso il quale gli operatori possono instradare altro traffico criminale.

LabuBarat costruisce un’identità falsa attorno al marchio NVIDIA

Annuncio

Il campione principale è un eseguibile Windows GUI a 64 bit non firmato, compilato il 17 giugno 2026. Il percorso di debug contiene il riferimento nvidia_container.pdb, mentre il mutex Local\NVIDIAContainerMonitor_SingleInstance impedisce l’avvio simultaneo di più istanze. Questi elementi sono studiati per rendere il processo plausibile durante un controllo superficiale del Task Manager o del filesystem. La presenza del nome NVIDIA non indica però alcun collegamento con l’azienda: il binario non dispone di una firma digitale valida e può essere eseguito da directory nelle quali un componente ufficiale non dovrebbe trovarsi. LabuBarat si inserisce in una tendenza che utilizza software conosciuti come copertura, osservata anche nelle campagne che distribuiscono PAMStealer attraverso una falsa versione dell’app Maccy e un payload Rust per macOS e nei repository costruiti per imitare strumenti legittimi destinati agli sviluppatori. Gli operatori possono configurare il RAT tramite parametri come -org, -key, -group e -server oppure fornire un unico blob Base64 con l’opzione -b, riducendo la leggibilità della riga di comando.

SQLite conserva configurazione, identità e attività del dispositivo

LabuBarat salva lo stato locale nel database SQLite nvctr_sys.db, affiancato dai consueti file -wal e -shm prodotti dalla modalità write-ahead logging. Le tabelle contengono coppie chiave-valore dedicate alla configurazione, all’identità del dispositivo e al tracciamento degli eventi. Il RAT raccoglie token, organizzazione, chiave API, gruppo operativo, nome dell’host, processore, quantità di memoria, indirizzo IP, tipo di collegamento, dominio Windows e stato UAC. Il profilo comprende anche l’elenco dei prodotti antivirus e dei browser installati, tra cui Chrome, Firefox, Edge e Brave. Questa ricognizione permette agli operatori di decidere se utilizzare il sistema come punto di ingresso, nodo proxy o obiettivo per moduli successivi. La separazione tra binario e configurazione rende inoltre lo stesso campione riutilizzabile in campagne differenti: è sufficiente cambiare organizzazione, chiave e server C2 senza ricompilare il malware. Un’impostazione simile era già emersa con RustyWater, implant in Rust adottato da MuddyWater per ottenere accesso stealth, confermando l’interesse degli attori per un linguaggio che produce binari veloci, portabili e più complessi da analizzare rispetto a molti payload tradizionali.

Il RAT esegue comandi, JavaScript e operazioni sui file

Gli operatori possono avviare comandi attraverso cmd.exe, PowerShell o Windows Script Host. I task JavaScript vengono scritti in file temporanei con prefisso wupd_ e successivamente eseguiti tramite wscript.exe, consentendo di delegare attività aggiuntive a script facilmente modificabili. LabuBarat acquisisce screenshot con le API GDI di Windows, converte le immagini in Base64 e le invia al server remoto. Il set di comandi comprende download, upload, cancellazione, creazione di directory, archiviazione ed estrazione di file. Questa combinazione permette di raccogliere documenti, distribuire altri payload e preparare il sistema a una compromissione più profonda. Il RAT non appare quindi legato a una singola operazione di spionaggio o furto, ma funziona come impianto generalista. Il modello ricorda il pacchetto npm che distribuiva un RAT Windows attraverso PowerShell e Python, dove il primo accesso serviva soprattutto a creare una piattaforma dalla quale eseguire moduli successivi.

Il proxy SOCKS5 trasforma la vittima in infrastruttura operativa

Attraverso i comandi socks5_start e socks5_stop, LabuBarat avvia un proxy SOCKS5 collegato a un tunnel_url configurato dagli operatori. Il traffico può essere instradato attraverso la macchina compromessa, nascondendo l’origine reale delle connessioni e sfruttando l’indirizzo IP della vittima per raggiungere servizi interni o siti che applicano controlli geografici. Un host aziendale infetto può diventare un punto di accesso alla rete locale, un relay per campagne successive oppure un nodo rivenduto ad altri criminali. L’uso del proxy rende inoltre più difficile distinguere l’attività del RAT dalle normali connessioni dell’organizzazione. Questa capacità è comparabile a quella osservata nella variante Linux di Chaos, progettata per ambienti cloud e dotata di proxy SOCKS5. La funzione aumenta il valore commerciale del malware e rende plausibile un utilizzo in modelli Malware as a Service o access-as-a-service.

HTTPS, WebView2 e DNS forniscono tre canali di comando

Il canale principale utilizza polling HTTPS implementato attraverso librerie Rust come reqwest, hyper e rustls. Le richieste presentano autenticazione Bearer, contenuti JSON e User-Agent che imitano browser comuni, compresi Chrome, Edge, Firefox e Opera. Un secondo metodo sfrutta WebView2 e JavaScript incorporato: il RAT usa fetch e postMessage per produrre comunicazioni simili a quelle generate da un’applicazione web. Il terzo canale ricorre al tunneling DNS, codificando i dati in Base32 e frammentandoli all’interno delle query. Questo percorso può funzionare anche quando l’accesso web diretto è limitato, perché molte reti consentono comunque la risoluzione DNS. La tecnica richiede però gestione di timeout, dimensioni ridotte e ricomposizione dei frammenti. L’uso del DNS come canale nascosto è stato approfondito da Matrice Digitale nell’analisi sulle tecniche di tunneling impiegate per scansioni e tracciamento delle vittime e nella backdoor ChamelDoH, capace di comunicare tramite DNS-over-HTTPS.

La persistenza passa dalla chiave Run dell’utente

LabuBarat utilizza la chiave HKCU\Software\Microsoft\Windows\CurrentVersion\Run per riavviarsi automaticamente a ogni accesso dell’utente. Le opzioni -install e -uninstall gestiscono l’aggiunta o la rimozione dell’entry, che può includere il blob Base64 con l’intera configurazione. Il ricorso a HKCU evita in molti casi la necessità di privilegi amministrativi e rende l’installazione compatibile con account standard. Allo stesso tempo, una riga di comando lunga, offuscata e associata a un file denominato come componente NVIDIA costituisce un indicatore rilevante. Il malware può adattare lo User-Agent, l’organizzazione e l’infrastruttura senza modificare il comportamento di base, complicando la creazione di firme statiche affidabili.

Gli indicatori combinano filesystem, processi e traffico

La ricerca deve partire da eseguibili non firmati che dichiarano metadati NVIDIA ma vengono avviati da directory utente, cartelle temporanee o percorsi non coerenti con un’installazione ufficiale. Gli artefatti più specifici comprendono nvctr_sys.db, nvctr_sys.db-wal, nvctr_sys.db-shm, il mutex Local\NVIDIAContainerMonitor_SingleInstance e file JavaScript con prefisso wupd_. Sul piano dei processi, è sospetta l’esecuzione di cmd.exe, powershell.exe o wscript.exe da parte di un presunto runtime NVIDIA. Le organizzazioni devono inoltre verificare entry Run con parametri Base64, richieste HTTPS con Bearer token provenienti da processi inattesi e query DNS ad alta entropia, numerose e frammentate. Il dominio C2 osservato è pipicka.xyz, associato al pannello LabubaPanel e agli indirizzi 191.44.109.130, 87.120.108.18 e 168.222.254.204. L’hash SHA-256 del campione analizzato è b7443b0ab48d2f5786d1b6f3a580f02621e9ae5a3877ee3a44e01df13d984328.

LabuBarat offre un accesso riutilizzabile a campagne differenti

La configurazione dinamica, il database locale e i tre canali C2 rendono LabuBarat un framework adattabile più che un RAT costruito per un’unica vittima. Gli operatori possono assegnare ogni installazione a organizzazioni e gruppi differenti, cambiare server e usare il sistema compromesso come proxy o piattaforma di ricognizione. L’assenza di informazioni certe sul vettore iniziale impone di monitorare download, allegati, archivi software e installatori non firmati che utilizzano il marchio NVIDIA. In presenza degli indicatori, il dispositivo deve essere isolato, sottoposto a raccolta forense e bonificato verificando autorun, database SQLite, file temporanei, credenziali memorizzate e traffico DNS. La sola cancellazione di nvidia-sysruntime.exe non garantisce che gli operatori non abbiano già trasferito altri payload o utilizzato il proxy per raggiungere risorse interne.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto