Sorillus RAT Campaign Hits Europe

18 juni 2025

Er is een nieuwe campagne gericht op Europese organisaties waarbij een geavanceerde versie van de Sorillus Remote Access Trojan (RAT) wordt ingezet. Ontdekt in maart 2025 door Orange Cyberdefense, zijn de aanvallen gelokaliseerd in landen als Spanje, Portugal, Italië, Frankrijk, België en Nederland.

Aanvalsstrategie

Doelgericht phishing met nepfacturen in lokale talen.
Een PDF lokt slachtoffers naar een OneDrive-hosted document.
Via een tunneldienst (ngrok, LocaltoNet, Playit.gg) volgt een QR-proef en identificatie van kwetsbare systemen.
Een misleidende .JAR (vervangt .png) van MediaFire installeert de RAT.
Het malware installeert zich via Windows-registratie en gebruikt onder meer AES‑ECB versleuteling en obfuscatietechnieken (Blowfish, DES, XOR).

Technische kenmerken en attributie

Sorillus (ook bekend als SambaSpy) omvat keylogging, bestandsbeheer, procescontrole, audio-/webcamopname en datadiefstal.
Configuratie verwijst vaak naar tunnel-C2-servers of Pastebin.
Cracks en gekraakte versies blijven beschikbaar via undergroundkanalen sinds de officiële getroffen infrastructuur begin 2025 is uitgeschakeld.
Taalgebruik en codefragmenten in Braziliaans-Portugees wijzen op Braziliaanse cybercriminelen.

Conclusie

De campagne illustreert een trend waarbij legitieme cloud- en tunnelingdiensten worden misbruikt om detectie te ontwijken. De combinatie van phishing in lokale talen, tunneling voor C2-verbindingen en geavanceerde obfuscatietechnieken versterken het evasieve karakter van deze malwarecampagne.

Technische maatregelen

Aan de technische IT-securitykant zijn er verschillende maatregelen die we kunnen nemen op het gebied van preventie en detectie. Orange Cyberdefense heeft een lijst samengesteld met Indicators of Compromise (IoC’s) die hiervoor gebruikt kunnen worden. Deze lijst is te vinden op hun GitHub-pagina: https://github.com/cert-orangecyberdefense/cti/tree/main/sorillus

Relevante links:

Tags: