SOC Prime Bias: Alto

12 Jun 2026 06:27 UTC

AsyncRAT Distribuido a Través de Campañas Amenazantes Temáticas de Inteligencia Artificial

Author Photo
SOC Prime Team linkedin icon Seguir
AsyncRAT Distribuido a Través de Campañas Amenazantes Temáticas de Inteligencia Artificial
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

Los actores de la amenaza están capitalizando engaños con temática de IA para distribuir una cadena de infección de malware multicapa. El ataque combina scripts por etapas, cargadores basados en AutoHotkey y vaciado de procesos para desplegar tanto un troyano de acceso remoto .NET como AsyncRAT. Un aspecto notable de la campaña es el aparente uso de desarrollo asistido por IA, reflejado en nombres de variables en chino simplificado y comentarios de código integrados en todo el malware.

Investigación

FortiGuard Labs examinó una secuencia de intrusión compleja que comenzó con un archivo ZIP malicioso que contenía un archivo LNK. Su análisis desveló varias etapas de extracción de cargas desde un contenedor basado en PDF, seguidas de inyección reflexiva impulsada por AutoHotkey y despliegue final de un RAT modular .NET junto a AsyncRAT. Los investigadores también documentaron métodos de ofuscación distintivos, incluida la abstracción semántica en idioma chino y lógica de descifrado personalizada diseñada para ocultar el comportamiento del malware.

Mitigación

Los usuarios deben ser especialmente cautelosos con los archivos LNK, archivos comprimidos y documentos recibidos de fuentes no confiables o inesperadas. Las organizaciones deben revisar las entradas de inicio, tareas programadas y ubicaciones del registro para cambios no autorizados. El monitoreo de actividades sospechosas de PowerShell y conexiones de red salientes inusuales también es esencial para identificar las etapas iniciales de compromiso.

Respuesta

Si se detecta esta actividad, los respondedores deben realizar una revisión forense de los %LOCALAPPDATA% and %APPDATA% directorios para identificar scripts descargados y artefactos relacionados. Se debe revisar el Programador de Tareas para tareas sospechosas como CheckRealtekAudioVersion or ResetRealtekAudioSettings64. Los sistemas afectados deben ser aislados inmediatamente para prevenir más comunicación con los dominios e IPs maliciosos identificados.

Diagrama de flujo del ataque

Detecciones

La posibilidad de ejecución a través de líneas de comando PowerShell ocultas (a través de cmdline)

Equipo de SOC Prime
11 de junio de 2026

Posible intento de ejecución de script AutoHotkey (a través de cmdline)

Equipo de SOC Prime
11 de junio de 2026

LOLBAS WScript / CScript (a través de creación_proceso)

Equipo de SOC Prime
11 de junio de 2026

Cadenas de PowerShell sospechosas (a través de PowerShell)

Equipo de SOC Prime
11 de junio de 2026

Llamada a métodos .NET sospechosos desde PowerShell (a través de PowerShell)

Equipo de SOC Prime
11 de junio de 2026

Posibles indicadores de ofuscación de PowerShell (a través de PowerShell)

Equipo de SOC Prime
11 de junio de 2026

IOCs (HashSha256) para detectar: Actores de amenaza aprovechan el bombo de la IA para entregar AsyncRAT

Reglas de IA de SOC Prime
11 de junio de 2026

IOCs (SourceIP) para detectar: Actores de amenaza aprovechan el bombo de la IA para entregar AsyncRAT

Reglas de IA de SOC Prime
11 de junio de 2026

IOCs (DestinationIP) para detectar: Actores de amenaza aprovechan el bombo de la IA para entregar AsyncRAT

Reglas de IA de SOC Prime
11 de junio de 2026

Command-and-Control de AsyncRAT usando cifrado RijndaelManaged [Windows Sysmon]

Reglas de IA de SOC Prime
11 de junio de 2026

Detección de comunicación de dominio de AsyncRAT C2 [Conexión de red de Windows]

Reglas de IA de SOC Prime
11 de junio de 2026

Ejecución sospechosa de PowerShell con ventanas ocultas y omisión de seguridad [Windows PowerShell]

Reglas de IA de SOC Prime
11 de junio de 2026

Detectar vaciado de procesos a través de creación de procesos sospechosos [Creación de procesos de Windows]

Reglas de IA de SOC Prime
11 de junio de 2026

Ejecución de simulación

Requisito previo: el chequeo pre-vuelo de telemetría y línea base debe haber sido aprobado.

Razonamiento: esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un diagnóstico erróneo.

  • Narrativa y comandos del ataque: Un adversario ha obtenido acceso inicial y se prepara para establecer un canal de Comando y Control (C2) persistente usando AsyncRAT. Para evadir la detección basada en firmas de red, el atacante utiliza la RijndaelManaged clase .NET para cifrar el tráfico. El atacante ejecuta una línea de comando de PowerShell que instancia el cifrador, con la intención de envolver el latido del C2 en una carga útil cifrada. Este comando está diseñado para activar la regla de detección basada en cadenas específicas.

  • Script de prueba de regresión:

    # Simulación de la instanciación de cifrado al estilo AsyncRAT en PowerShell
    # Este comando está diseñado para coincidir con la cadena 'RijndaelManaged.CreateEncryptor' en la línea de comando.
    $code = "[System.Security.Cryptography.RijndaelManaged]::CreateEncryptor()"
    powershell.exe -NoProfile -ExecutionPolicy Bypass -Command "$encryptor = [System.Security.Cryptography.RijndaelManaged]::CreateEncryptor(); Write-Output 'Encryption engine initialized.'"
  • Comandos de limpieza:

    # No se hicieron cambios persistentes por el script de simulación; sin embargo, 
    # se limpia el historial de PowerShell para eliminar rastros del comando.
    Clear-History
    Remove-Item (Get-PSReadlineOption).HistorySavePath -ErrorAction SilentlyContinue