
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
LabubaRAT to nowo opisana rodzina złośliwego oprogramowania typu RAT, czyli narzędzia do zdalnego dostępu, zaprojektowana do utrzymywania trwałej obecności na systemach Windows oraz wykonywania poleceń operatora. Szczególną cechą kampanii jest podszywanie się pod legalne komponenty NVIDIA, co ma utrudniać wykrycie i zwiększać wiarygodność pliku w środowisku ofiary.
W skrócie
Badacze zidentyfikowali wcześniej nieudokumentowany malware napisany w języku Rust, występujący jako plik nvidia-sysruntime.exe. Próbka nie zawiera na stałe wpisanego adresu serwera C2, lecz przyjmuje konfigurację podczas uruchomienia, dzięki czemu ten sam implant może być używany w wielu kampaniach.
- profiluje host i zbiera informacje o systemie,
- sprawdza obecność produktów bezpieczeństwa,
- wykonuje polecenia oraz skrypty PowerShell i JavaScript,
- przesyła pliki i wykonuje zrzuty ekranu,
- obsługuje proxy SOCKS5, HTTPS, WebView2 i tunelowanie DNS.
Kontekst / historia
Analiza opublikowana 14 lipca 2026 roku wskazuje, że LabubaRAT nie wygląda na jednorazowy implant przygotowany dla pojedynczej operacji, lecz raczej na szerszy framework zdalnego dostępu. Nazwa zagrożenia pochodzi od oznaczeń powiązanej infrastruktury sterującej, w której zauważono branding „LabubaPanel” oraz charakterystyczne elementy wizualne.
Istotny jest również sposób organizacji konfiguracji. Operator może przekazywać do malware parametry dotyczące organizacji, grupy, serwera czy klucza API, co sugeruje model wielokrotnego wdrażania i centralnego zarządzania agentami. Taka architektura bywa kojarzona z podejściem malware-as-a-service.
Analiza techniczna
LabubaRAT jest 64-bitowym, niepodpisanym plikiem wykonywalnym dla Windows skompilowanym w Rust. Warstwa kamuflażu opiera się na metadanych nawiązujących do NVIDIA, takich jak nazwa komponentu, opis produktu czy artefakty uruchomieniowe. Malware tworzy również mutex przypominający legalny komponent runtime, co dodatkowo wzmacnia pozory autentyczności.
Jednym z najważniejszych elementów konstrukcji jest dynamiczna konfiguracja w czasie uruchomienia. Zamiast twardo zakodowanego adresu C2 implant akceptuje parametry z linii poleceń lub ze zmiennych środowiskowych. Obsługiwany jest także wariant, w którym argumenty są przekazywane jako pojedynczy ciąg zakodowany w Base64, co umożliwia użycie tego samego pliku w wielu wdrożeniach bez rekompilacji.
Po uruchomieniu malware zapisuje stan lokalny w bazie SQLite nvctr_sys.db. Przechowywane są tam informacje o serwerze, tokenie urządzenia, domenie DNS i interwałach odpytywania. Mechanizm ten pozwala zachować konfigurację między kolejnymi uruchomieniami i ułatwia rejestrację hosta po stronie panelu operatorskiego.
LabubaRAT przeprowadza również rekonesans hosta. Zbiera nazwę komputera, model CPU, ilość pamięci RAM, stan UAC, informacje o domenie oraz listę przeglądarek. Równocześnie sprawdza obecność wielu rozwiązań ochronnych, w tym Microsoft Defender, CrowdStrike, SentinelOne, Carbon Black, Sophos, Malwarebytes, Bitdefender, ESET, Kaspersky, McAfee, Symantec i Trend Micro.
Zakres funkcji operacyjnych wskazuje na pełnoprawny RAT, a nie prosty downloader. Malware wspiera wykonywanie poleceń systemowych, skryptów PowerShell oraz JavaScript, tworzenie zrzutów ekranu przy użyciu natywnych API Windows, przesyłanie i usuwanie plików, tworzenie katalogów, archiwizację oraz dearchiwizację danych. Dodatkowo może uruchamiać relay SOCKS5, umożliwiając tunelowanie ruchu przez przejęty host.
Na uwagę zasługują trzy ścieżki komunikacji z infrastrukturą sterującą. Podstawowy mechanizm wykorzystuje HTTPS polling z autoryzacją bearer token. Drugim kanałem jest komunikacja przez Microsoft Edge WebView2, co może upodabniać ruch do aktywności aplikacji opartych na komponentach przeglądarkowych. Trzecim kanałem jest tunelowanie DNS, obejmujące kodowanie, dzielenie danych na fragmenty oraz odpytywanie resolvera, co daje alternatywną drogę łączności przy wykryciu lub blokadzie ruchu HTTP.
Mechanizm utrwalania opiera się na autostarcie w kontekście użytkownika przez klucz HKCU\Software\Microsoft\Windows\CurrentVersion\Run. W połączeniu z zakodowanymi argumentami startowymi utrudnia to szybką ocenę, jakie parametry konfiguracyjne są przekazywane implantowi podczas ponownego uruchomienia.
Konsekwencje / ryzyko
Ryzyko związane z LabubaRAT jest wysokie, ponieważ malware zapewnia operatorowi szeroką kontrolę nad stacją roboczą bez potrzeby dostarczania dodatkowych modułów. Po skutecznym wdrożeniu napastnik może prowadzić działania post-exploitation, wykonywać polecenia, pobierać i wysyłać pliki, monitorować aktywność użytkownika przez zrzuty ekranu oraz wykorzystywać system jako węzeł pośredniczący dla dalszego ruchu.
Z punktu widzenia obrony szczególnie niebezpieczne są trzy cechy: wiarygodne podszywanie się pod znanego dostawcę oprogramowania, elastyczny model konfiguracji oraz wiele kanałów C2. Taka kombinacja utrudnia klasyczne wykrywanie oparte wyłącznie na nazwie pliku, pojedynczym wskaźniku IOC lub jednym wzorcu ruchu sieciowego. Dodatkowo wykrywanie obecności rozwiązań EDR i AV może pozwalać operatorowi dopasować taktyki do poziomu ochrony na danym hoście.
Rekomendacje
Organizacje powinny w pierwszej kolejności zwracać uwagę na niepodpisane pliki wykonywalne podszywające się pod zaufanych dostawców, szczególnie jeśli uruchamiane są z nietypowych lokalizacji lub inicjują aktywność sieciową. Warto wdrożyć reguły detekcyjne dla procesów zawierających długie argumenty zakodowane w Base64, zwłaszcza gdy towarzyszy im autostart, komunikacja zewnętrzna lub uruchamianie interpretera skryptów.
- monitorować wpisy
HKCU\...\Runwskazujące na nieznane binaria, - śledzić tworzenie plików i baz danych takich jak
nvctr_sys.db, - analizować procesy potomne uruchamiające
cmd.exe,powershell.exe,wscript.exelubcscript.exe, - wykrywać nietypowe użycie WebView2 przez procesy, które normalnie z niego nie korzystają,
- monitorować anomalie DNS mogące wskazywać na tunelowanie danych,
- korelować zdarzenia z EDR, Sysmon, DNS, proxy oraz logów rejestru.
W środowiskach o podwyższonym poziomie bezpieczeństwa warto ograniczać możliwość uruchamiania nieautoryzowanych skryptów, egzekwować allowlisting aplikacji i kontrolować wykorzystanie interpreterów systemowych. Zespoły SOC powinny również przygotować hunting pod artefakty związane z fałszywym brandingiem NVIDIA, nietypowymi mutexami oraz lokalnymi bazami SQLite używanymi przez implant.
Podsumowanie
LabubaRAT to technicznie dojrzały RAT dla systemów Windows, który łączy kamuflaż pod legalne oprogramowanie z elastycznym modelem wdrożeniowym i rozbudowanym zestawem funkcji operatorskich. Wykorzystanie Rust, dynamicznej konfiguracji, wielu kanałów komunikacji oraz trwałości w profilu użytkownika wskazuje, że nie jest to prosty malware jednorazowego użytku, lecz framework przygotowany do wielokrotnego wykorzystania.
Dla obrońców najważniejsze pozostaje wykrywanie zachowań, a nie wyłącznie nazw plików czy pojedynczych IOC. Siła tego zagrożenia wynika właśnie z jego modułowej, elastycznej i adaptacyjnej konstrukcji.