El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha advertido sobre nuevos ciberataques selectivos en el país utilizando una puerta trasera llamada CABINETRAT.
La actividad, observado en septiembre de 2025, se ha atribuido a un grupo de amenazas que rastrea como UAC-0245 . La agencia dijo que detectó el ataque tras el descubrimiento de herramientas de software que tomaban la forma de archivos XLL , que hacen referencia a los complementos de Microsoft Excel que se suelen utilizar para ampliar la funcionalidad de Excel con funciones personalizadas.
Una investigación más profunda descubrió que los archivos XLL se distribuyen en archivos ZIP compartidos en la aplicación de mensajería Signal, disfrazados de documento relativo a la detención de personas que habían intentado cruzar la frontera ucraniana.
El XLL, una vez lanzado, está diseñado para crear varios ejecutables en el host comprometido, a saber, un archivo EXE en la carpeta de inicio, un archivo XLL llamado «BasicExcelMath.xll» en el directorio «%APPDATA%\ Microsoft\ Excel\ XLSTART\» y una imagen PNG llamada «Office.png».
Las modificaciones del Registro de Windows se realizan para garantizar la persistencia del ejecutable, tras lo cual se inicia la aplicación Excel (» excel.exe «) con el parámetro «/e» («/embed») en modo oculto para ejecutar finalmente el complemento XLL. El objetivo principal de la XLL es analizar y extraer del archivo PNG el código shell clasificado como CABINETRAT.
Tanto la carga útil XLL como el shellcode incluyen una serie de procedimientos antiVM y antianálisis para evitar la detección, incluida la comprobación de al menos dos núcleos de procesador y al menos 3 GB de RAM, y la presencia de herramientas como VMware, VirtualBox, Xen, QEMU, Parallels e Hyper-V.
CABINETRAT, un backdoor completo escrito en el lenguaje de programación C, está diseñado principalmente para recopilar información del sistema, una lista de programas instalados, capturas de pantalla, así como para enumerar el contenido de los directorios, eliminar archivos o directorios específicos, ejecutar comandos y realizar subidas y descargas de archivos. Se comunica con un servidor remoto a través de una conexión TCP.
La divulgación se produce días después de Fortinet FortiGuard Labs prevenido de ataques dirigidos contra Ucrania haciéndose pasar por la Policía Nacional de Ucrania en una campaña de suplantación de identidad sin archivos que utiliza Amatera Stealer y PureMiner para recopilar datos confidenciales y extraer criptomonedas de los sistemas objetivo.