Los actores de amenazas están atrayendo a usuarios desprevenidos para que ejecuten utilidades de juego troyanas que se distribuyen a través de navegadores y plataformas de chat para distribuir un troyano de acceso remoto (RAT).

«Un descargador malintencionado organizó un tiempo de ejecución de Java portátil y ejecutó un archivo Java (JAR) malicioso llamado jd-gui.jar», dijo el equipo de Threat Intelligence de Microsoft dijo en una entrada en X. «Este descargador usó PowerShell y archivos binarios tradicionales (LOLBins), como cmstp.exe, para ejecutarlos sigilosamente».

La cadena de ataque también está diseñada para evadir la detección eliminando el descargador inicial y configurando las exclusiones de Microsoft Defender para los componentes RAT.

La persistencia se logra mediante una tarea programada y un script de inicio de Windows denominado «world.vbs», antes de que la carga útil final se implemente en el host comprometido. El malware, según Microsoft, es un «malware multipropósito» que actúa como cargador, ejecutor, descargador y RAT.

Una vez lanzado, se conecta a un servidor externo en «79.110.49 [.] 15» para las comunicaciones de comando y control (C2), lo que le permite filtrar datos e implementar cargas útiles adicionales.

adsense

Como forma de defenderse de la amenaza, se recomienda a los usuarios que auditen las exclusiones y tareas programadas de Microsoft Defender, eliminen las tareas maliciosas y los scripts de inicio, aíslen los puntos finales afectados y restablezcan las credenciales de los usuarios activos en los hosts comprometidos.

La revelación se produce cuando BlackFog dio a conocer detalles sobre una nueva familia de malware RAT para Windows llamada Steaelite, que se anunció por primera vez en foros delictivos en noviembre de 2025 como la «mejor RAT de Windows» con capacidades «totalmente indetectables» (FUD). Es compatible tanto con Windows 10 como con Windows 11.

A diferencia de otras RAT estándar que se venden a actores criminales, Steaelite combina el robo de datos y el ransomware, empaquetándolos en un panel web, con un módulo de ransomware para Android en camino. El panel también incorpora varias herramientas de desarrollo para facilitar el registro de teclas, el chat entre cliente y víctima, la búsqueda de archivos, la difusión por USB, la modificación del fondo de pantalla, la elusión del UAC y funcionalidad clipper .

Otras funciones destacables incluyen la eliminación del malware de la competencia, la desactivación de Microsoft Defender o la configuración de exclusiones y la instalación de métodos de persistencia.

En cuanto a sus principales capacidades, Steaelite RAT admite la ejecución remota de código, la administración de archivos, la transmisión en vivo, el acceso a cámaras web y micrófonos, la administración de procesos, la supervisión del portapapeles, el robo de contraseñas, la enumeración de programas instalados, el seguimiento de la ubicación, la ejecución arbitraria de archivos, la apertura de URL, los ataques DDoS y la compilación de cargas útiles de VB.NET.

«La herramienta ofrece a los operadores un control basado en el navegador sobre las máquinas Windows infectadas, lo que abarca la ejecución remota de código, el robo de credenciales, la vigilancia en vivo, la exfiltración de archivos y el despliegue de ransomware desde un único panel», dijo la investigadora de seguridad Wendy McCague dijo .

enlaces

«Un solo actor de amenazas puede examinar archivos, filtrar documentos, recopilar credenciales e implementar ransomware desde el mismo panel de control. Esto permite una doble extorsión total con una sola herramienta».

En las últimas semanas, los cazadores de amenazas también han descubierto dos nuevas familias de ratas rastreadas como Escritorio VB RAT y Kazakrat que permiten un control remoto integral de los hosts infectados e incluso despliegan capacidades de forma selectiva después de la puesta en peligro. Según Ctrl Alt Intel, se sospecha que KazakRat es obra de un grupo supuestamente afiliado al Estado que ataca a entidades kazajas y afganas, como parte de una campaña persistente que se lleva a cabo al menos desde agosto de 2022.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.