Una nueva investigación de ESET advierte que la publicación en GitHub del código fuente de AsyncRAT —un troyano de acceso remoto (RAT) liberado en 2019, ha disparado la aparición de “clones” cada vez más sofisticados y difíciles de detectar, propagados en campañas de phishing, anuncios maliciosos y foros clandestinos.
¿Por qué tanto revuelo?
AsyncRAT, escrito en C#, fue diseñado con una arquitectura modular y un sistema de plugins que facilita, a cualquiera con conocimientos básicos, añadir o quitar funciones a voluntad. Esa flexibilidad, unida a su licencia abierta, ha convertido el proyecto en la pieza de Lego preferida de los cibercriminales:
- Reutilización de código: comparte clases de criptografía con Quasar RAT, lo que permite portar configuraciones y cifrados sin esfuerzo.
- Familia numerosa de forks: destacan DCRat (oculta actividad deshabilitando AMSI/ETW y roba cámara, micrófono y tokens de Discord), Venom RAT (mejora las técnicas de evasión), NonEuclid RAT (bruteforce SSH/FTP y funciona como clipper de criptomonedas), JasonRAT (filtra víctimas por país) y XieBroRAT (puente con Cobalt Strike adaptado al mercado chino).
- “Malware-as-a-Service” (MaaS): constructores y módulos preconfigurados se ofrecen en Telegram y foros de la dark web, rebajando la barrera de entrada y multiplicando las infecciones.
Claves técnicas (sin perderse en tecnicismos)
- Persistencia y sigilo
Los forks parchean interfaces de seguridad (AMSI/ETW), inyectan código en procesos legítimos y se copian en claves de inicio o tareas programadas para resistir reinicios. - Módulos “plug & play”
El mismo binario puede activar plugins para keylogging, capturas de pantalla, cifrado de archivos o control total del escritorio remoto, según el objetivo de la campaña. - C2 polimórfico
Usan cifrado personalizado y túneles (p. ej. Cloudflare) para camuflar el tráfico; algunos variantes rotan dominios mediante DGA o abusan de plataformas legítimas — Discord, Telegram, GitHub — para alojar cargas útiles. - Cadena de infección express
Campañas masivas empaquetan AsyncRAT en droppers como GuLoader o SmokeLoader, distribuidos a través de falsos cracks, actualizaciones y phishing. Una vez dentro, el RAT actúa de plataforma de lanzamiento para ransomware o stealers.
La moraleja es clara: el carácter abierto y modular de AsyncRAT ha democratizado el desarrollo de malware. Para defenderse, los equipos de seguridad deben ir más allá de firmas estáticas y centrarse en detección basada en comportamiento, análisis de C2 y controles que rompan la fase de “post-explotación” donde estos RATs brillan.
Más información:
- AsyncRAT’s Open-Source Code Sparks Surge in Dangerous Malware Variants Across the Globe https://thehackernews.com/2025/07/asyncrats-open-source-code-sparks-surge.html
