Novo implante RoadK1ll usa WebSocket para pivotar em redes comprometidas

Pesquisadores identificaram o RoadK1ll, um implante em Node.js que cria um túnel reverso via WebSocket para transformar um host comprometido em ponto de pivot dentro da rede. O truque: tudo sai por conexão de saída, evitando listener inbound e reduzindo alertas.

O que é

• Implante em Node.js voltado para movimentação lateral.
• Usa WebSocket como canal de controle e túnel reverso persistente.

Como funciona

• O host comprometido inicia a conexão de saída com a infraestrutura do atacante.
• O túnel aceita múltiplas conexões simultâneas, permitindo acesso a serviços internos.

Por que isso importa

• Facilita acesso a segmentos internos “invisíveis” para a internet.
• Reduz alertas baseados em portas abertas, já que o tráfego é iniciado de dentro.
• WebSocket costuma passar por proxies e inspeções menos rigorosas.

Mitigação imediata

• Endurecer egress (allowlist de destinos/portas).
• Monitorar processos Node.js não autorizados em endpoints.
• Segmentar redes e limitar acesso lateral de hosts de usuário.

O que monitorar

• Tráfego WebSocket anômalo para domínios recém-criados.
• Conexões persistentes de estações para IPs incomuns.
• Correlação entre logins e criação de túneis.

Fonte: https://www.bleepingcomputer.com/news/security/new-roadk1ll-websocket-implant-used-to-pivot-on-breached-networks/