Un troyano de 2019 sigue activo, y ahora es casi imposible de detectar

AsyncRAT, publicado por primera vez en GitHub en enero de 2019, con el tiempo se ha convertido en una de las herramientas más influyentes en el arsenal de los ciberdelincuentes. Gracias a su arquitectura abierta, escrita en C#, se ha convertido en la base de numerosas bifurcaciones y modificaciones que se han utilizado para crear programas maliciosos cada vez más sofisticados.

Un análisis reciente, realizado por especialistas de ESET, mostró cómo este troyano, en apariencia no muy impresionante en cuanto a funcionalidad, gracias a su accesibilidad, estructura modular y facilidad de configuración, se ha transformado en una plataforma completa para el control de sistemas infectados.

AsyncRAT fue creado inicialmente como una herramienta simple de acceso remoto, capaz de tomar capturas de pantalla, registrar pulsaciones de teclas, robar credenciales y ejecutar comandos de los atacantes. Sin embargo, su verdadero impacto comenzó a manifestarse con el aumento del número de bifurcaciones, distribuidas principalmente a través de campañas de phishing y cargadores como GuLoader y SmokeLoader. Estos métodos de distribución permiten disfrazar la amenaza como software pirateado, actualizaciones falsas o publicidad maliciosa, dirigida tanto a usuarios individuales como a redes corporativas.

AsyncRAT resultó especialmente atractivo para la comunidad criminal debido a su flexibilidad. Se adaptó rápidamente a nuevas condiciones, se volvió más difícil de detectar y adquirió capacidades más sofisticadas mediante módulos adicionales. Con el tiempo, surgieron decenas de nuevas variantes de programas maliciosos basados en él, incluyendo JasonRAT, XieBroRAT y el menos conocido NonEuclid RAT.

DCRat, también conocido como DarkCrystal RAT, representó un paso cualitativo adelante en comparación con el AsyncRAT original. Incluye técnicas de evasión como el parcheo de AMSI y ETW, que desactivan los mecanismos de detección de actividad maliciosa. Además, puede grabar desde el micrófono y la cámara web, robar tokens de Discord e incluso cifrar archivos de la víctima. Venom RAT, inspirado en DCRat, también adquirió funciones únicas y se volvió aún más avanzado en términos de sigilo.

Otras bifurcaciones, como NonEuclid RAT, están orientadas a la fuerza bruta de contraseñas SSH y FTP, a la manipulación del contenido del portapapeles con el fin de robar criptomonedas e incluso a la infección de otros archivos ejecutables. JasonRAT añadió la capacidad de orientación geográfica, mientras que XieBroRAT fue adaptado al mercado chino y aprendió a interactuar con servidores de Cobalt Strike.

Las raíces de AsyncRAT se remontan a un proyecto anterior: Quasar RAT, también basado en C#, que apareció en GitHub en 2015. A pesar de su origen común, AsyncRAT representa más una reelaboración que una bifurcación directa, aunque ambos programas utilizan mecanismos criptográficos similares para descifrar configuraciones.

La disponibilidad abierta de herramientas como estas ha reducido drásticamente la barrera de entrada al cibercrimen. Ahora incluso los atacantes novatos pueden lanzar campañas maliciosas complejas con un esfuerzo mínimo, especialmente cuando se suma la posibilidad de automatización mediante modelos de lenguaje. Esto, a su vez, fomenta el desarrollo del modelo de “malware como servicio”: compilaciones preconfiguradas de AsyncRAT y sus módulos se venden libremente en Telegram y foros clandestinos.

Una dificultad adicional la plantea la fusión de límites entre programas maliciosos, herramientas legítimas de administración remota y utilidades de prueba de penetración. Esto dificulta la identificación de amenazas y el desarrollo de medidas defensivas. Para los equipos de seguridad, esto significa la necesidad de prestar más atención al análisis de comportamiento, a la investigación de canales de comando y control y a la comprensión de técnicas modernas como la persistencia sin archivos, la manipulación del portapapeles y el robo de credenciales.