Grupos de ransomware estão utilizando um malware chamado Skitnet para roubo furtivo de dados e controle remoto de sistemas comprometidos, segundo especialistas de cibersegurança. Vendido desde abril de 2024 em fóruns clandestinos como o RAMP, o Skitnet passou a ser amplamente empregado por operadores de ransomware a partir de 2025, como o grupo Black Basta, que o usou em campanhas de phishing com temática do Microsoft Teams.

Também conhecido como Bossnet, o Skitnet é um malware de múltiplos estágios criado pelo grupo identificado como LARVA-306. Seu diferencial técnico está no uso das linguagens Rust e Nim para estabelecer conexões de shell reverso via DNS, dificultando a detecção por antivírus. A ameaça inclui mecanismos de persistência, ferramentas de acesso remoto e capacidade de exfiltração de dados. Além disso, pode baixar um carregador em .NET para entregar cargas adicionais.

Anunciado pela primeira vez em abril de 2024, o malware é oferecido como um “pacote compacto” com um componente servidor e o malware em si. O executável inicial em Rust descriptografa e executa um payload embutido em Nim, cuja principal função é abrir a conexão com o servidor de comando e controle (C2) por DNS. O malware ainda executa comandos usando PowerShell, tira capturas de tela, instala softwares legítimos de controle remoto como AnyDesk e coleta informações sobre produtos de segurança instalados. A divulgação ocorre em paralelo ao relatório da Zscaler sobre o TransferLoader, um carregador de malware que distribui o ransomware Morpheus, utilizado contra um escritório de advocacia nos EUA.