Los investigadores de ciberseguridad están llamando la atención sobre una nueva campaña que aprovecha los repositorios de Python alojados en GitHub para distribuir un troyano de paso remoto (RAT) basado en JavaScript no documentado anteriormente. PyStoreRAT.
“Estos repositorios, a menudo temáticos como utilidades de exposición o herramientas OSINT, contienen sólo unas pocas líneas de código responsables de descargar silenciosamente un archivo HTA remoto y ejecutarlo a través de ‘mshta.exe'”, dijo el investigador de Morphisec, Yonatan Edri, en un crónica compartido con The Hacker News.
PyStoreRAT se ha descrito como un implante “modular de varias etapas” que puede ejecutar módulos EXE, DLL, PowerShell, MSI, Python, JavaScript y HTA. El malware además implementa un usurero de información conocido como Rhadamanthys como carga útil de seguimiento.
Las cadenas de ataque implican la distribución del malware a través de cargadores de Python o JavaScript integrados en repositorios de GitHub disfrazados de herramientas OSINT, bots DeFi, envoltorios GPT y utilidades con temas de seguridad diseñadas para atraer a analistas y desarrolladores.
Los primeros signos de la campaña se remontan a mediados de junio de 2025, y desde entonces se ha publicado un flujo constante de “repositorios”. Las herramientas se promocionan a través de plataformas de redes sociales como YouTube y X, adicionalmente de inflar artificialmente las métricas de estrellas y bifurcaciones de los repositorios, una técnica que recuerda a Stargazers Ghost Network.
Los actores de amenazas detrás de la campaña aprovechan cuentas de GitHub recién creadas o aquellas que permanecieron inactivas durante meses para imprimir los repositorios, deslizando sigilosamente la carga maliciosa en forma de compromisos de “mantenimiento” en octubre y noviembre posteriormente de que las herramientas comenzaron a percibir popularidad y aterrizaron en las listas de principales tendencias de GitHub.
De hecho, muchas de las herramientas no funcionaron como se anunciaban, mostrando solo menús estáticos o interfaces no interactivas en algunos casos, mientras que otras realizaron operaciones mínimas de contador de posición. La intención detrás de la operación era darles una apariencia de legalidad abusando de la confianza inherente de GitHub y engañando a los usuarios para que ejecutaran el código auxiliar del cargador responsable de iniciar la dependencia de infección.
Esto activa efectivamente la ejecución de una carga útil de aplicación HTML remota (HTA) que, a su vez, entrega el malware PyStoreRAT, que viene con capacidades para perfilar el sistema, comprobar privilegios de administrador y escanear el sistema en indagación de archivos relacionados con billeteras de criptomonedas, específicamente aquellos asociados con Ledger Live, Trezor, Exodus, Atomic, Observancia y BitBox02.
El código auxiliar del cargador recopila una cinta de productos antivirus instalados y verifica cadenas que coinciden con “Falcon” (una remisión a CrowdStrike Falcon) o “Reason” (una remisión a Cybereason o ReasonLabs), probablemente en un intento de disminuir la visibilidad. En caso de que se detecten, bichero “mshta.exe” mediante “cmd.exe”. De lo contrario, continúa con la ejecución directa de “mshta.exe”.
La persistencia se logra configurando una tarea programada disfrazada de modernización cibernética de la aplicación NVIDIA. En la etapa final, el malware contacta a un servidor foráneo para averiguar comandos que se ejecutarán en el host. Algunos de los comandos admitidos se enumeran a continuación:
- Descargue y ejecute cargas aperos EXE, incluido Rhadamanthys
- Descargar y extraer archivos ZIP
- Descarga una DLL maliciosa y la ejecuta usando “rundll32.exe”
- Obtenga código JavaScript sin formato y ejecútelo dinámicamente en la memoria usando eval()
- Descargar e instalar paquetes MSI
- Genere un proceso secundario “mshta.exe” para cargar cargas aperos de HTA remotas adicionales
- Ejecute comandos de PowerShell directamente en la memoria
- Se propaga a través de unidades extraíbles reemplazando documentos legítimos con archivos maliciosos de accesos directos de Windows (LNK)
- Eliminar la tarea programada para eliminar el vestigio forense
Actualmente no se sabe quién está detrás de la operación, pero la presencia de artefactos en idioma ruso y patrones de codificación alude a un actor de amenazas de probable origen en Europa del Este, dijo Morphisec.
“PyStoreRAT representa un cambio en dirección a implantes modulares basados en scripts que pueden adaptarse a los controles de seguridad y ofrecer múltiples formatos de carga útil”, concluyó Edri. “Su uso de HTA/JS para la ejecución, cargadores de Python para la entrega y razonamiento de despreocupación compatible con Falcon crea un punto de apoyo sigiloso en la primera etapa que las soluciones EDR tradicionales detectan solo en las últimas etapas de la dependencia de infección”.
La divulgación se produce cuando el proveedor de seguridad chino QiAnXin detalló otro nuevo troyano de paso remoto (RAT) con nombre en código SetcodeRat que probablemente se esté propagando por todo el país desde octubre de 2025 a través de señuelos de publicidad maliciosa. Se dice que cientos de ordenadores, incluidos los de gobiernos y empresas, resultaron infectados en el falta de un mes.
“El paquete de instalación pillo primero verificará la región de la víctima”, dijo el Centro de Inteligencia de Amenazas QiAnXin. “Si no está en el ámbito de deje china, saldrá automáticamente”.
El malware se disfraza de instaladores legítimos de programas populares como Google Chrome y pasa a la subsiguiente etapa sólo si el idioma del sistema corresponde a China continental (Zh-CN), Hong Kong (Zh-HK), Macao (Zh-MO) y Taiwán (Zh-TW). Igualmente finaliza la ejecución si la conexión a una URL de Bilibili (“api.bilibili(.)com/x/report/click/now”) no tiene éxito.
En la subsiguiente etapa, se inicia un ejecutable llamado “pnm2png.exe” para descargar “zlib1.dll”, que luego descifra el contenido de un archivo llamado “qt.conf” y lo ejecuta. La carga útil descifrada es una DLL que incorpora la carga útil RAT. SetcodeRat puede conectarse a Telegram o a un servidor de comando y control (C2) convencional para recuperar instrucciones y sufrir a parte el robo de datos.
Permite que el malware tome capturas de pantalla, registre pulsaciones de teclas, lea carpetas, establezca carpetas, inicie procesos, ejecute “cmd.exe”, establezca conexiones de socket, recopile información de conexión de red y sistema y se actualice a una nueva traducción.
