נוזקה חדשה בשם WogRAT מכוונת גם ל- Windows וגם ל- Linux במתקפות סייבר המשתמשות לרעה בפלטפורמת פנקס רשימות מקוון בשם aNotepad, כערוץ סמוי לאחסון ואחזור קוד זדוני. לפי חוקרי מרכז מודיעין האבטחה של AhnLab (ASEC), הנוזקה פעילה לפחות מאז סוף 2022 ומכוונת ליפן, סינגפור, סין, הונג קונג ומדינות אחרות באסיה. שיטות ההפצה אינן ידועות, אך השמות של קבצי ההפעלה שנדגמו דומים לתוכנות פופולריות (flashsetup_LL3gjJ7.exe, WindowsApp.exe, WindowsTool.exe, BrowserFixup.exe, ChromeFixup.exe, HttpDownload.exe, ToolKit.exe), כך שסביר להניח שהנוזקה מופצת באמצעות malvertizing או תוכנות דומות.
יש לציין את השימוש לרעה ב- aNotepad – פלטפורמת פנקסים מקוונת בחינם, כדי לארח קובץ בינארי .NET מקודד base64 של גרסת Windows של הנוזקה, במסווה של כלי של Adobe. בהיותו שירות מקוון לגיטימי, aNotepad אינו מצוי ברשימות לחסימה של תוכנות אנטי וירוס ואינו מטופל בחשדנות על ידי כלי אבטחה, מה שעוזר להפוך את שרשרת ההדבקה לחמקנית יותר. כאשר מופעלת לראשונה הנוזקה במחשב של הקורבן, לא סביר שהיא תסומן על ידי כלי אנטי וירוס, מכיוון שהיא אינה כוללת פונקציונליות זדונית כלשהי. עם זאת, מכילה הנוזקה קוד מקור מוצפן עבור תוכנת הורדת נוזקות אחרות, אשר נערכת ומבוצעת תוך כדי תנועה. הורדה זו מאחזרת בינארי זדוני נוסף של NET המאוחסן בצורה מקודדת base64 בפנקס הרשימות המקוון וכתוצאה מכך טעינת DLL – שהיא הדלת האחורית של WogRAT. נוזקת WogRAT שולחת פרופיל בסיסי של המערכת הנגועה לשרת פיקוד ובקרה (C2) ומקבלת פקודות לביצוע.
גרסת Linux של WogRAT, שמגיעה בצורת ELF, חולקת קווי דמיון רבים עם גרסת Windows. עם זאת, היא ייחודית בשימוש Tiny Shell לפעולות ניתוב והצפנה נוספת בתקשורת שלה עם ה- C2. הסבר: TinySHell היא דלת אחורית בקוד פתוח המאפשרת חילופי נתונים וביצוע פקודות במערכות Linux עבור גורמי איומים מרובים, כולל LightBasin, OldGremlin, UNC4540 וכן, המפעילים הלא מזוהים של ערכת השורש של Linux Syslogk. הבדל בולט נוסף הוא שפקודות בגרסת Linux אינן נשלחות באמצעות בקשות POST, אלא מונפקות באמצעות Reverse Shell.
אנליסטים של ASEC לא הצליחו לקבוע כיצד מופצים קבצים בינאריים אלו של ELF למערכות המחשוב של הקורבנות, בעוד שגרסת Linux אינה עושה שימוש לרעה ב- aNotepad לצורך אירוח ואחזור קוד זדוני.
