Ce groupe malveillant repose sur un botnet déployé à l’aide d’une variété d’exploits publics et d’attaques par force brute. Ce groupe communique via des réseaux IRC publics et privés, développe des cyberarmes et des données de ciblage, et utilise son botnet pour réaliser des gains financiers par le biais de multiples méthodes.

Les honeypots de Sysdig TRT, conçus pour attirer les acteurs malveillants, sont attaqués par RUBYCARP depuis des mois. Ils ciblent et exploitent des applications Laravel vulnérables à la CVE-2021-3129 conduisant à des preuves de SSH Brute forcing comme un autre moyen pour le groupe d’accéder à ses cibles.

Sysdig a découvert des preuves que l’acteur malveillant ciblait des sites WordPress en utilisant des vidages de noms d’utilisateur et de mots de passe. Au cours de la phase de reconnaissance de RUBYCARP, Sysdig a également trouvé 39 variantes du fichier Perl (shellbot). Huit figuraient dans VirusTotal, signifiant que seules quelques campagnes ont été détectées précédemment.

En se connectant aux IRC utilisés par RUBYCARP, Sysdig compte plus de 600 hôtes compromis. RUBYCARP utilise plusieurs réseaux IRC pour les communications générales, mais aussi pour gérer ses botnets et coordonner les campagnes de cryptomining. Pour gérer son botnet, RUBYCARP utilise un ensemble de serveurs IRC privés qu’il semble faire tourner régulièrement ainsi qu’un canal public IRC Undernet appelé #Cristi.

RUBYCARP s’intéresse aux payloads qui permettent de réaliser des gains financiers, incluant le cryptomining, le DDoS et le phishing. Il déploie un certain nombre d’outils différents pour monétiser ses actifs compromis. Dans le cadre de ses opérations de phishing, RUBYCARP a ciblé des cartes de crédit et dispose d’un ensemble diversifié de sources de revenus illicites.