NimPlant

¿Qué es?

NimPlant es una herramienta legítima de hacking ofensivo (HackTool) y de pruebas de penetración, que funciona como agente de servidores de mando y control (C2) para obtener acceso remoto en sistemas comprometidos y dar soporte a las operaciones iniciales de cualquier intrusión. No se trata de un malware en sí mismo, pero, aunque fue creada con fines legítimos y publicada como proyecto educativo y open-source, los ciberdelincuentes la utilizan para llevar a cabo actividades maliciosas, por lo que, en detección y respuesta a incidentes se suele tratar como malware, ya que, funcionalmente, actúa como troyano de acceso remoto (RAT) y backdoor.

¿Qué hace?

Esta herramienta tiene capacidad para realizar las siguientes acciones:

Permite ejecutar comandos remotamente por los atacantes en los dispositivos afectados.
Permite el reconocimiento de los sistemas mediante comandos de consola y scripts de Powershell para revelar los usuarios (whoami), los nombres de los equipos (hostname), las variables de entorno, los dominios, los procesos y la información de las redes (ipconfig), entre otros.
Permite el cifrado de las comunicaciones con los servidores de mando y control (C2) y comprime el tráfico por defecto.
Permite realizar operaciones con ficheros (listar, leer, copiar, mover, eliminar...), con directorios (crear, eliminar, mover...) y entre los sistemas víctima y los servidores de mando y control (C2) (borrar, subir y bajar archivos...), entre otros.
Permite las capturas de pantalla.
Permite la interacción (consultar/modificar) con el Registro de los sistemas.
Permite la ejecución en memoria y la inyección de procesos.

Sistemas afectados

Los principales dispositivos afectados son:

Dispositivos con sistemas Microsoft Windows.

¿Cómo me infecta?

Los atacantes acceden a los dispositivos con esta herramienta a través de descargas de sitios web comprometidos, a través de falsos programas disfrazados de software legítimo y a través de otros troyanos que actúan como droppers o loaders y descargan el agente.