Il malware Chaos RAT rappresenta una delle più recenti e insidiose minacce informatiche rivolte sia ai sistemi Windows che Linux. Questa variante di RAT, ovvero Remote Access Trojan, si distingue per la sua natura open-source e per essere stata sviluppata in Golang, linguaggio che consente una compatibilità trasversale tra le principali piattaforme. Chaos RAT si sta diffondendo soprattutto attraverso campagne di phishing e download di falsi strumenti di diagnostica di rete, spesso mascherati come utilità per ambienti Linux. Le vittime sono indotte con l’inganno a scaricare file apparentemente legittimi, che una volta eseguiti instaurano una comunicazione con server esterni per ricevere comandi malevoli.

Una volta attivo, Chaos RAT permette ai cybercriminali di eseguire numerose azioni dannose: avviare shell remote, caricare e scaricare file, cancellare dati, eseguire screenshot, raccogliere informazioni sul sistema, bloccare, riavviare o spegnere la macchina e persino aprire URL arbitrari. Questa flessibilità lo rende uno strumento potente per il controllo completo dei dispositivi compromessi. La versione più recente identificata, la 5.0.3, risale a fine maggio 2024 e testimonia un continuo sviluppo e aggiornamento.

Molte delle infezioni documentate hanno avuto come obiettivo l’installazione di miner per criptovalute, sfruttando la potenza di calcolo dei sistemi Linux violati. Tuttavia, le capacità di Chaos RAT vanno ben oltre il semplice mining: nei pacchetti malevoli è spesso presente uno script che modifica la crontab di sistema per garantire la persistenza, scaricando il malware a intervalli regolari.

Un ulteriore elemento di rischio deriva dalle vulnerabilità individuate nel pannello di amministrazione di Chaos RAT, nello specifico una falla di command injection (CVE-2024-30850) e una di cross-site scripting (CVE-2024-31839) che, se combinate, consentono l’esecuzione di codice arbitrario sul server. Fortunatamente, queste vulnerabilità sono state corrette dal manutentore del progetto.

Il caso Chaos RAT è emblematico di come strumenti open-source possano essere rapidamente adottati e adattati da attori malevoli, rendendo difficile l’attribuzione delle campagne e aumentando il rischio per aziende e utenti privati. L’utilizzo di RAT di pubblico dominio infatti consente ai criminali di confondersi tra il traffico generato da comuni attività e rende più ardua la difesa da queste minacce.