AsyncRAT Distribuido a Través de Campañas Amenazantes Temáticas de Inteligencia Artificial
Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Los actores de la amenaza están capitalizando engaños con temática de IA para distribuir una cadena de infección de malware multicapa. El ataque combina scripts por etapas, cargadores basados en AutoHotkey y vaciado de procesos para desplegar tanto un troyano de acceso remoto .NET como AsyncRAT. Un aspecto notable de la campaña es el aparente uso de desarrollo asistido por IA, reflejado en nombres de variables en chino simplificado y comentarios de código integrados en todo el malware.
Investigación
FortiGuard Labs examinó una secuencia de intrusión compleja que comenzó con un archivo ZIP malicioso que contenía un archivo LNK. Su análisis desveló varias etapas de extracción de cargas desde un contenedor basado en PDF, seguidas de inyección reflexiva impulsada por AutoHotkey y despliegue final de un RAT modular .NET junto a AsyncRAT. Los investigadores también documentaron métodos de ofuscación distintivos, incluida la abstracción semántica en idioma chino y lógica de descifrado personalizada diseñada para ocultar el comportamiento del malware.
Mitigación
Los usuarios deben ser especialmente cautelosos con los archivos LNK, archivos comprimidos y documentos recibidos de fuentes no confiables o inesperadas. Las organizaciones deben revisar las entradas de inicio, tareas programadas y ubicaciones del registro para cambios no autorizados. El monitoreo de actividades sospechosas de PowerShell y conexiones de red salientes inusuales también es esencial para identificar las etapas iniciales de compromiso.
Respuesta
Si se detecta esta actividad, los respondedores deben realizar una revisión forense de los %LOCALAPPDATA% and %APPDATA% directorios para identificar scripts descargados y artefactos relacionados. Se debe revisar el Programador de Tareas para tareas sospechosas como CheckRealtekAudioVersion or ResetRealtekAudioSettings64. Los sistemas afectados deben ser aislados inmediatamente para prevenir más comunicación con los dominios e IPs maliciosos identificados.
«Diagrama de flujo del ataque
«graph TB
%% Class Definitions Section
classDef action fill:#99ccff
classDef tool fill:#cccccc
classDef malware fill:#ff9999
classDef process fill:#ccffcc
classDef technique fill:#ffff99
%% Node Definitions
%% Initial Stage
action_user_exec[«Action – T1204.002 User Execution: Malicious File
User opens a compressed archive containing
a malicious .lnk shortcut disguised as an AI guide.»]
class action_user_exec action
action_obfuscation[«Action – T1027 Obfuscated Files or Information
The .lnk file uses cmd.exe to execute an
obfuscated command sequence to extract data
from a hidden PDF file named 3th.pdf.»]
class action_obfuscation technique
%% Staged Execution
action_ps_decryption[«Action – T1027.013 Obfuscated Files or Information: Encrypted/Encoded File
A PowerShell script performs AES-CBC decryption
and Base64 decoding to reveal a payload
saved as Cache_{GUID}.ps1.»]
class action_ps_decryption technique
%% Persistence and Evasion
action_persistence[«Action – T1547 Persistence
The script creates a scheduled task named
CheckRealtekAudioVersion to ensure survival.»]
class action_persistence technique
action_exclusion[«Action – T1679 Selective Exclusion
The malware uses Add-MpPreference to add
the C drive and powershell.exe to the
Microsoft Defender exclusion list.»]
class action_exclusion technique
%% Proxying and Scripting
action_cmd_shell[«Action – T1059.003 Command and Scripting Interpreter: Windows Command Shell
Utilizes Windows Command Shell for execution.»]
class action_cmd_shell technique
action_syncappv[«Action – T1216.002 System Script Proxy Execution: SyncAppvPublishingServer
Uses a VBS file ResetRealtekAudioSettings64.vbs
to act as a mediator for launching batch files.»]
class action_syncappv technique
%% AutoHotkey Stage
tool_autohotkey[«Tool: AutoHotkey.exe
Benign binary used to execute malicious
.ahk scripts for complex logic.»]
class tool_autohotkey tool
action_ahk_interpreter[«Action – T1059.010 Command and Scripting Interpreter: AutoHotKey & AutoIT
The .ahk scripts manage process injection
and orchestration.»]
class action_ahk_interpreter technique
%% Injection and Payload
action_hollowing[«Action – T1055.012 Process Injection: Process Hollowing
Reconstructs a PE payload from text data
and injects it into legitimate .NET processes.»]
class action_hollowing technique
process_dotnet[«Process: .NET Process
Targeted legitimate process such as
AddInProcess32.exe for injection.»]
class process_dotnet process
malware_asyncrat[«Malware: AsyncRAT
A modular .NET Remote Access Trojan
deployed as the final payload.»]
class malware_asyncrat malware
action_exfiltration[«Action – T1048 Exfiltration Over Alternative Protocol
Exfiltrates system information and performs
surveillance via C2 domains like shampobiskworld.nl.»]
class action_exfiltration technique
%% Connections
%% Initial chain
action_user_exec –>|leads_to| action_obfuscation
action_obfuscation –>|triggers| action_ps_decryption
%% Persistence and Evasion chain
action_ps_decryption –>|establishes| action_persistence
action_ps_decryption –>|performs| action_exclusion
%% Scripting and Proxying chain
action_ps_decryption –>|leverages| action_cmd_shell
action_cmd_shell –>|uses| action_syncappv
%% AutoHotkey chain
action_syncappv –>|executes| tool_autohotkey
tool_autohotkey –>|uses| action_ahk_interpreter
%% Injection chain
action_ahk_interpreter –>|performs| action_hollowing
action_hollowing –>|injects_into| process_dotnet
%% Final Payload chain
process_dotnet –>|hosts| malware_asyncrat
malware_asyncrat –>|performs| action_exfiltration
Detecciones
La posibilidad de ejecución a través de líneas de comando PowerShell ocultas (a través de cmdline)
Ver
Posible intento de ejecución de script AutoHotkey (a través de cmdline)
Ver
LOLBAS WScript / CScript (a través de creación_proceso)
Ver
Cadenas de PowerShell sospechosas (a través de PowerShell)
Ver
Llamada a métodos .NET sospechosos desde PowerShell (a través de PowerShell)
Ver
Posibles indicadores de ofuscación de PowerShell (a través de PowerShell)
Ver
IOCs (HashSha256) para detectar: Actores de amenaza aprovechan el bombo de la IA para entregar AsyncRAT
Ver
IOCs (SourceIP) para detectar: Actores de amenaza aprovechan el bombo de la IA para entregar AsyncRAT
Ver
IOCs (DestinationIP) para detectar: Actores de amenaza aprovechan el bombo de la IA para entregar AsyncRAT
Ver
Command-and-Control de AsyncRAT usando cifrado RijndaelManaged [Windows Sysmon]
Ver
Detección de comunicación de dominio de AsyncRAT C2 [Conexión de red de Windows]
Ver
Ejecución sospechosa de PowerShell con ventanas ocultas y omisión de seguridad [Windows PowerShell]
Ver
Detectar vaciado de procesos a través de creación de procesos sospechosos [Creación de procesos de Windows]
Ver
Ejecución de simulación
Requisito previo: el chequeo pre-vuelo de telemetría y línea base debe haber sido aprobado.
Razonamiento: esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un diagnóstico erróneo.
-
Narrativa y comandos del ataque: Un adversario ha obtenido acceso inicial y se prepara para establecer un canal de Comando y Control (C2) persistente usando AsyncRAT. Para evadir la detección basada en firmas de red, el atacante utiliza la
RijndaelManagedclase .NET para cifrar el tráfico. El atacante ejecuta una línea de comando de PowerShell que instancia el cifrador, con la intención de envolver el latido del C2 en una carga útil cifrada. Este comando está diseñado para activar la regla de detección basada en cadenas específicas. -
Script de prueba de regresión:
# Simulación de la instanciación de cifrado al estilo AsyncRAT en PowerShell # Este comando está diseñado para coincidir con la cadena 'RijndaelManaged.CreateEncryptor' en la línea de comando. $code = "[System.Security.Cryptography.RijndaelManaged]::CreateEncryptor()" powershell.exe -NoProfile -ExecutionPolicy Bypass -Command "$encryptor = [System.Security.Cryptography.RijndaelManaged]::CreateEncryptor(); Write-Output 'Encryption engine initialized.'" -
Comandos de limpieza:
# No se hicieron cambios persistentes por el script de simulación; sin embargo, # se limpia el historial de PowerShell para eliminar rastros del comando. Clear-History Remove-Item (Get-PSReadlineOption).HistorySavePath -ErrorAction SilentlyContinue