Investigadores en ciberseguridad han sacado a la luz una campaña sofisticada que abusa de sitios legítimos comprometidos para propagar un troyano de acceso remoto hasta ahora no documentado públicamente, bautizado como MIMICRAT (también conocido como AstarionRAT). El análisis más reciente de Elastic Security Labs detalla cómo los atacantes combinan técnicas de ingeniería social, encadenamientos de PowerShell y cargas útiles in-memory para lograr persistencia y control remoto sobre máquinas Windows; puedes consultar el informe completo en el sitio de Elastic para ver los indicadores y la telemetría relevante: Elastic Security Labs — MIMICRAT.
La intrusión comienza de manera muy discreta: páginas legítimas son modificadas para servir código malicioso que, a su vez, carga scripts alojados externamente. En el caso documentado por Elastic, el servicio afectado fue bincheck[.]io, una web de validación de BIN (Bank Identification Number). El JavaScript inyectado redirige a la víctima hacia un script en PHP que simula una verificación de Cloudflare y convence al usuario de copiar y pegar un comando en el diálogo Ejecutar de Windows. Ese simple gesto desencadena la ejecución de una cadena de PowerShell que contacta un servidor de mando y control (C2) para descargar la siguiente etapa del ataque.
La sofisticación de la cadena es notoria: el segundo script PowerShell no se limita a ejecutar código; modifica el comportamiento del sistema para evitar la detección. Entre las acciones documentadas están manipulaciones dirigidas a la telemetría de eventos de Windows y a la interfaz antimalware de Microsoft, conocidas respectivamente como ETW (Event Tracing for Windows) y AMSI (Antimalware Scan Interface). Ambos mecanismos son precisamente las defensas sobre las que los operadores intentan incubar su carga útil sin ser observados —para profundizar sobre estos componentes, Microsoft mantiene documentación técnica: ETW y AMSI.
Una vez minadas estas barreras, el proceso entrega un cargador escrito en Lua que desencripta y ejecuta shellcode directamente en memoria. Ese shellcode instala finalmente al agente MIMICRAT, que se comunica con su C2 a través de HTTPS por el puerto 443. La elección de HTTPS y la emulación de patrones de tráfico propios de herramientas de analítica web facilitan que la telemetría ofensiva pase desapercibida entre comunicaciones legítimas.
Desde el punto de vista funcional, MIMICRAT es una pieza de software a medida escrita en C++ que ofrece un abanico amplio de capacidades post-explotación. Entre sus facultades están la suplantación de tokens de Windows para escalar privilegios, la creación de túneles SOCKS5 para enrutar tráfico, y un conjunto extenso de comandos —según Elastic, alrededor de veintidós— que abarcan control de procesos y sistema de archivos, acceso a una shell interactiva, inyección de shellcode y funcionalidad de proxy. Es, en esencia, un kit bastante completo para movimiento lateral, sigilo y exfiltración.
Otro aspecto relevante del ataque es su carácter internacional y su orientación masiva: el cebo mostrado a las víctimas está localizado dinámicamente en 17 idiomas distintos, de modo que el señuelo se adapta al idioma del navegador y aumenta la probabilidad de engaño. Las víctimas identificadas por los investigadores incluyen desde instituciones académicas en Estados Unidos hasta usuarios en foros de habla china, lo que apunta a una campaña oportunista con alcance geográfico amplio.
Las trazas observadas por Elastic también coinciden, en tácticas e infraestructura, con otra investigación publicada por Huntress que describe campañas ClickFix vinculadas al uso del cargador Matanbuchus 3.0 como puente hacia el mismo tipo de RAT. Si quieres revisar análisis adicionales y contexto operativo, la página de investigación de Huntress contiene artículos técnicos y ejemplos de detecciones: Huntress — Blog.
¿Qué persigue el atacante? Aunque no siempre es posible afirmar con total seguridad la intención final, todos los elementos del ataque —la capacidad de establecer túneles, manejar tokens, ejecutar comandos arbitrarios y ocultar comunicaciones— encajan con objetivos típicos de ransomware o de extracción masiva de datos. En otros incidentes con patrones similares, los actores han utilizado el acceso inicial para desplegar cargas destructivas o para canalizar grandes volúmenes de información fuera de la red comprometida.
Para organizaciones y usuarios las lecciones son claras y deben aplicarse con prioridad: desconfiar de instrucciones que soliciten copiar y pegar comandos en una consola o en Ejecutar, revisar la integridad de sitios de terceros utilizados como servicios recurrentes y fortalecer detección en los extremos mediante soluciones que monitoricen comportamientos anómalos, no solo firmas. Además, la protección de los mecanismos que los atacantes buscan manipular —como ETW y AMSI— y la visibilidad sobre procesos que realizan descargas ejecutables o inyección en memoria son elementos críticos de defensa. Para entender mejor qué es un RAT y por qué son tan peligrosos, es útil consultar recursos de referencia como el centro de amenazas de Kaspersky: Kaspersky — Remote Access Trojans.
Campañas de esta naturaleza dejan en evidencia dos realidades: los atacantes prefieren explotar la confianza que la gente deposita en servicios legítimos y las defensas tradicionales pueden no ser suficientes si la cadena de ataque se ejecuta en memoria y evita firmas. La respuesta requiere tanto acciones técnicas —monitoreo de tráfico cifrado, segmentación de redes, hardening de endpoints y detección de anomalías en procesos— como medidas organizativas que reduzcan el riesgo de que un usuario ejecute comandos peligrosos. El informe de Elastic ofrece indicadores y técnicas que pueden ayudar a la detección y remediación; revisarlo y correlacionarlo con los registros internos es un buen paso inicial para cualquier equipo de seguridad.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...