Los actores de amenazas están atrayendo a usuarios desprevenidos para que ejecuten utilidades de juegos troyanizadas que se distribuyen a través de navegadores y plataformas de chat para distribuir un troyano de golpe remoto (RAT).
“Un descargador receloso organizó un tiempo de ejecución de Java portátil y ejecutó un archivo Java (JAR) receloso llamado jd-gui.jar”, dijo el equipo de Microsoft Threat Intelligence en una publicación en X. “Este descargador usó PowerShell y binarios que viven fuera de la tierra (LOLBins) como cmstp.exe para una ejecución sigilosa”.
La prisión de ataque incluso está diseñada para eludir la detección eliminando el descargador auténtico y configurando exclusiones de Microsoft Defender para los componentes RAT.
La persistencia se logra mediante una tarea programada y un script de inicio de Windows llamado “world.vbs”, ayer de que se implemente la carga útil final en el host comprometido. El malware, según Microsoft, es un “malware multipropósito” que actúa como cargador, ejecutor, descargador y RAT.
Una vez iniciado, se conecta a un servidor foráneo en “79.110.49(.)15” para comunicaciones de comando y control (C2), lo que le permite filtrar datos y desplegar cargas avíos adicionales.
Como forma de defenderse contra la amenaza, se recomienda a los usuarios que auditen las exclusiones y tareas programadas de Microsoft Defender, eliminen tareas maliciosas y scripts de inicio, aíslen los puntos finales afectados y restablezcan las credenciales de los usuarios activos en hosts comprometidos.
La divulgación se produce cuando BlackFog reveló detalles de una nueva clan de malware RAT para Windows citación Steaelite que se anunció por primera vez en foros criminales en noviembre de 2025 como el “mejor RAT para Windows” con capacidades “totalmente indetectables” (FUD). Es compatible tanto con Windows 10 como con 11.
A diferencia de otros RAT disponibles en el mercado vendidos a actores criminales, Steaelite agrupa el robo de datos y el ransomware, empaquetándolos en un panel web, con un módulo de ransomware para Android en camino. El panel incluso incorpora varias herramientas de desarrollador para suministrar el registro de teclas, el chat de cliente a víctima, la búsqueda de archivos, la distribución por USB, la modificación del fondo de pantalla, la omisión de UAC y la funcionalidad de clipper.
Otras características notables incluyen la asesinato de malware de la competencia, la desactivación de Microsoft Defender o la configuración de exclusiones y la instalación de métodos de persistencia.
En cuanto a sus capacidades principales, Steaelite RAT admite ejecución remota de código, delegación de archivos, transmisión en vivo, golpe a cámara web y micrófono, delegación de procesos, monitoreo del portapapeles, robo de contraseñas, enumeración de programas instalados, seguimiento de ubicación, ejecución de archivos arbitrarios, tolerancia de URL, ataques DDoS y compilación de carga útil VB.NET.
“La aparejo brinda a los operadores control basado en navegador sobre máquinas Windows infectadas, cubriendo ejecución remota de código, robo de credenciales, vigilancia en vivo, exfiltración de archivos e implementación de ransomware desde un solo panel”, dijo la investigadora de seguridad Wendy McCague.
“Un único actor de amenazas puede explorar archivos, extraer documentos, resumir credenciales e implementar ransomware desde el mismo panel. Esto permite una doble perjuicio completa desde una sola aparejo”.
En las últimas semanas, los cazadores de amenazas incluso han descubierto dos nuevas familias de RAT rastreadas como DesckVB RAT y KazakRAT que permiten un control remoto integral sobre los hosts infectados e incluso implementan capacidades de forma selectiva posteriormente del compromiso. Según Ctrl Alt Intel, se sospecha que KazakRAT es obra de un género sospechoso de estar afiliado al estado que tiene como objetivo entidades kazajas y afganas como parte de una campaña persistente en curso desde al menos agosto de 2022.
