Negli ultimi anni AsyncRAT si è imposto come uno dei malware più diffusi nell’ambito della cybersicurezza, diventando il fulcro di una fitta rete di varianti e fork che minacciano utenti e aziende a livello globale. Nato come progetto open source su GitHub nel 2019, AsyncRAT ha sfruttato la sua architettura modulare e la facilità di personalizzazione per favorire la nascita di numerose versioni modificate, tra cui spiccano DCRat e Venom RAT. Queste varianti hanno progressivamente integrato nuove funzionalità e tecniche di evasione, rendendosi ancora più insidiose e difficili da rilevare.

AsyncRAT si diffonde soprattutto tramite campagne di phishing opportunistiche e grazie a loader come GuLoader e SmokeLoader. Questi vettori di attacco permettono di colpire sia ambienti aziendali che privati, spesso sfruttando software piratati, pubblicità malevole o aggiornamenti fasulli. Una volta installato, AsyncRAT agisce come strumento per il furto di informazioni e il controllo remoto dei dispositivi infetti, consentendo ai cybercriminali di ottenere credenziali, registrare tasti, catturare schermate e molto altro.

A differenza di altri RAT open source, come Quasar RAT, AsyncRAT rappresenta una riscrittura più avanzata, mantenendo alcune analogie solo a livello di crittografia ma superandolo in termini di modularità e possibilità di estensione.

DCRat e Venom RAT: evoluzioni di AsyncRAT

DCRat, una delle sue evoluzioni più note, introduce tecniche di elusione dei controlli di sicurezza come la patching di AMSI e ETW, oltre a funzionalità per la raccolta di dati da webcam, microfono e token Discord, fino alla cifratura dei file. Venom RAT, ispirato a DCRat, integra a sua volta strategie di evasione ancora più sofisticate e personalizzazioni mirate.

Altre varianti e fork

Non sono mancate altre varianti meno note, come NonEuclid RAT, che offre plugin per attacchi brute-force su SSH e FTP, funzioni di geolocalizzazione, clipboard hijacking e persino la capacità di infettare altri eseguibili per propagarsi ulteriormente. Alcuni fork, come JasonRAT e XieBroRAT, sono ottimizzati per colpire specifiche aree geografiche o per interagire con infrastrutture come i server Cobalt Strike, mostrando come la natura open source di AsyncRAT favorisca una rapida e creativa evoluzione delle minacce.

La disponibilità di framework come AsyncRAT abbassa drasticamente la barriera d’ingresso per i cybercriminali, permettendo anche ai meno esperti di lanciare campagne malware sofisticate tramite moduli pronti all’uso, spesso venduti su Telegram o nei forum del dark web. Questo fenomeno, insieme alla sovrapposizione tra strumenti di penetration testing e strumenti malevoli, complica la difesa e l’attribuzione degli attacchi, imponendo alle aziende di investire in sistemi di rilevamento comportamentale, analisi del traffico C2 e strategie di protezione avanzata contro furti di credenziali e attacchi fileless.