«Veo tu escritorio»: el veterano AsyncRAT resurge y vuelve a cobrar fuerza
Un ataque barato, posible con apenas un par de dólares, pone en peligro a todos.
Se ha registrado en Internet un aumento notable de la actividad de la infraestructura relacionada con la herramienta maliciosa de acceso remoto AsyncRAT. El análisis de la visibilidad global de la red muestra que los servidores de control de esta familia continúan desplegándose masivamente en alojamientos accesibles y siguen siendo una herramienta operativa para ataques y robo de datos.
AsyncRAT es un troyano de acceso remoto de código abierto para la plataforma .NET, escrito en C# y publicado en 2019. Desde entonces se ha difundido ampliamente en comunidades clandestinas, ha recibido numerosas modificaciones y se ha convertido en la base de familias como DCRat y VenomRAT. El programa permite a los atacantes asentarse en el sistema, ejecutar comandos, capturar pulsaciones de teclas, tomar capturas de pantalla y extraer credenciales. La comunicación con los servidores de control se realiza por TCP con cifrado SSL/TLS.
Según la plataforma de inteligencia de red Censys, en enero de 2026 se observaron 57 nodos activos relacionados con AsyncRAT en la red pública. La mayoría está alojada en proveedores de servidores virtuales de bajo coste. Con más frecuencia esos servidores se encuentran en las redes de APIVERSA y Contabo, así como en varios revendedores. La geografía de las direcciones corresponde principalmente a Estados Unidos, Países Bajos y Alemania, lo que se relaciona sobre todo con la densidad de centros de datos.
Casi todos los nodos detectados usan un certificado TLS autofirmado con el nombre AsyncRAT Server. Ese indicador recurrente permite identificar infraestructura relacionada a escala sin depender de muestras de archivos específicas. En algunas direcciones funcionan simultáneamente varias instancias de los servicios de control en puertos contiguos, lo que indica campañas paralelas o redundancia en los canales de mando.
Además, los especialistas encontraron archivos ejecutables en directorios públicos con el nombre típico de cliente AsyncClient.exe. El análisis de la configuración mostró la arquitectura característica de la aplicación .NET de AsyncRAT, con uso de MessagePack, carga de módulos en memoria y parámetros de conexión cifrados. No se detectaron en estas muestras signos característicos de VenomRAT.
Llamó la atención una variante de certificado con la localización china del nombre del servidor. Esto indica una ampliación del grupo de operadores y el uso de la herramienta fuera de las regiones habituales de actividad. Una tendencia similar ya se había observado en el contexto de otras familias de RAT que se distribuyen mediante herramientas legítimas modificadas.
AsyncRAT sigue siendo peligroso por sus mecanismos de persistencia encubierta y robo de credenciales. Para su detección se recomienda supervisar tareas sospechosas en el programador de tareas, entradas de autoinicio en el registro, así como conexiones TLS salientes con certificados característicos y puertos inusuales. La monitorización regular de indicadores de red ayuda a detectar con antelación canales de mando C2 y a bloquearlos.