A versão macOS do backdoor HZ RAT tem como alvo usuários de aplicativos de mensagens chineses, incluindo DingTalk e WeChat, replicando funcionalidades semelhantes à sua versão para Windows, mas com load diferente, em forma de scripts de shell. Descoberto pela primeira vez pela DCSO em novembro de 2022, o HZ RAT tem se espalhado por meio de arquivos zip autoextraíveis e documentos RTF maliciosos, provavelmente criados com a ferramenta Royal Road RTF.
As infecções por documentos RTF exploram uma vulnerabilidade antiga do Microsoft Office, enquanto outro método de distribuição do malware envolve disfarçar-se como instalador de softwares legítimos, implantando scripts VBS para ativar o RAT. O HZ RAT executa funções básicas como receber instruções de um servidor de comando e controle (C2), executar comandos PowerShell, escrever e carregar arquivos, e enviar informações de status, sendo usado provavelmente para reconhecimento e coleta de credenciais.
As primeiras detecções do malware remontam a junho de 2020, com a campanha ativa desde outubro de 2020. A versão macOS recente, identificada pela Kaspersky em julho de 2023, imita o OpenVPN Connect e executa comandos básicos após contato com um servidor C2.
O malware mira na obtenção de informações de identificação do WeChat e detalhes mais pessoais do DingTalk, como nome da organização e cargo do usuário. Análises revelaram servidores C2 majoritariamente situados na China. Além disso, o pacote de instalação do macOS foi previamente baixado de um domínio de uma desenvolvedora de jogos chinesa, não sendo claro o alcance da campanha ou se os servidores foram comprometidos. A presença contínua do HZ RAT indica certo sucesso na atividade maliciosa, com possibilidade de uso futuro para movimentos laterais nas redes infectadas.
