Sin magia, solo Python: cómo extraer todos los secretos del QuasarRAT de hace diez años

Los especialistas de Sekoia publicaron la segunda parte de la serie "Advent of Configuration Extraction", en la que analizan detalladamente cómo extraer la configuración del popular troyano .NET QuasarRAT — tanto de una compilación limpia como de una ofuscada. Los autores muestran paso a paso cómo, con pythonnet, dnlib y Jupyter Notebook, acceder a las estructuras internas del troyano (RAT) y recuperar parámetros clave, incluidas las direcciones de los servidores C2 y los materiales criptográficos.

QuasarRAT apareció en 2014 como una herramienta legítima de administración remota; sin embargo, su código abierto, la facilidad de modificación y el reducido tamaño convirtieron al proyecto en un habitual en los arsenales de ciberdelincuentes. El troyano se utiliza activamente en ciberespionaje y en ataques dirigidos, y su funcionalidad —desde la recolección de información del sistema hasta el registro de teclas y la gestión de archivos— se adapta regularmente a las necesidades de los atacantes.

El artículo describe el funcionamiento del entorno de investigación, que incluye dnSpy, ILSpy, contenedores Docker y scripts de Python, los cuales permiten cargar programáticamente ensamblados .NET, descomponer su estructura e interactuar con el lenguaje intermedio IL. La idea clave es acceder a los constructores estáticos y a los campos donde QuasarRAT guarda los parámetros de configuración. Para la versión limpia esto se reduce a buscar la cadena HOSTS y otros campos de la clase Settings, pero en la variante ofuscada se requiere un análisis mucho más profundo.

Los autores muestran cómo, en un ensamblado cifrado, localizar la clase Aes256, extraer la sal codificada, identificar las llamadas a PBKDF2 y reconstruir la clave AES usada para descifrar los parámetros. Tras eso es posible iterar las cadenas cifradas en el constructor Settings y obtener el conjunto completo de configuración: servidores de control, claves, parámetros de instalación, etiquetas y otros elementos del comportamiento del troyano (RAT).

El trabajo subraya la versatilidad del enfoque: los métodos de búsqueda de clases, el análisis de referencias, el recorrido de las instrucciones IL y la extracción automática de campos se adaptan con facilidad a otras familias maliciosas de .NET que emplean patrones similares y implementaciones criptográficas públicas. Las principales limitaciones actualmente afectan a ensamblados empaquetados, algoritmos no estándar y cargadores personalizados; sin embargo, futuras actualizaciones de las herramientas podrían cubrir esas lagunas.