La protección integrada no actúa mientras desconocidos reemplazan en secreto componentes críticos del sistema.

Buscar un programa gratuito en internet resultó suficiente para infectar la computadora sin ser detectada, ya que los atacantes crearon más de 90 sitios falsos y distribuían a través de ellos el troyano AsyncRAT. Las páginas copiaban los portales de descarga de OBS Studio, Bandicam, DNS Jumper, DS4Windows y otras aplicaciones populares.
Según informa Kaspersky, los delincuentes registraron dominios en diez idiomas y promovieron los sitios en los resultados de búsqueda, por lo que las víctimas ni siquiera necesitaban seguir enlaces de correos electrónicos de phishing. La campaña maliciosa comenzó aproximadamente en octubre de 2025 y se detuvo hacia finales de marzo de 2026; sin embargo, en el momento de la publicación muchas páginas falsas seguían accesibles.
El archivo con el instalador contenía un ejecutable firmado por Microsoft y una biblioteca maliciosa. Al iniciarse, el programa cargaba la biblioteca como un componente legítimo. A esta técnica se la denomina sideloading de DLL. Al mismo tiempo se instalaba la aplicación real, por lo que el usuario no notaba la sustitución.
En segundo plano, el instalador desplegaba ScreenConnect, un programa legítimo de control remoto. Los sistemas de protección corporativos suelen permitir herramientas de este tipo, lo que ayudaba a ocultar la actividad entre las conexiones administrativas habituales.
ScreenConnect ejecutaba scripts de PowerShell, añadía excepciones en Microsoft Defender y desactivaba las solicitudes del Control de cuentas de usuario. Luego el código malicioso descifraba AsyncRAT e inyectaba el troyano en el proceso del sistema RegAsm.exe. La tarea MasterPackager.Updater ejecutaba la cadena de nuevo cada dos minutos y preservaba la infección después del reinicio.
AsyncRAT permitía robar credenciales y mantener un acceso remoto prolongado a sistemas domésticos y corporativos. Los especialistas vinculan la campaña con la recolección masiva de contraseñas, que podrían haberse usado para ataques posteriores o para vender acceso; sin embargo, la fuente no aporta confirmaciones directas de ese esquema.
Para reducir el riesgo, se recomienda a las empresas permitir la ejecución solo de aplicaciones aprobadas, bloquear la instalación de paquetes MSI desde fuentes desconocidas y monitorizar la aparición de nuevos servicios de administración remota y tareas del programador. A los usuarios se les aconseja descargar programas desde los sitios oficiales, y a los sistemas de protección filtrar las conexiones con dominios y direcciones IP desconocidos.