Los investigadores de ciberseguridad están llamando la atención sobre una nueva campaña que utiliza repositorios de Python alojados en GitHub para difundir un troyano de acceso remoto (RAT) basado en JavaScript no documentado anteriormente. PyStoreRAT.
“Estos repositorios, a menudo denominados utilidades de desarrollo o herramientas OSINT, contienen sólo unas pocas líneas de código responsables de descargar silenciosamente un archivo HTA remoto y ejecutarlo a través de 'mshta.exe'”, dijo el investigador de Morphisec, Yonatan Edri, en un informe compartido con The Hacker News.
PyStoreRAT se ha descrito como un implante “modular de varias etapas” que puede ejecutar módulos EXE, DLL, PowerShell, MSI, Python, JavaScript y HTA. El malware también implementa un ladrón de información llamado Rhadamanthys como carga útil de seguimiento.
Las cadenas de ataque incluyen la propagación del malware a través de cargadores de Python o JavaScript integrados en repositorios de GitHub, disfrazados de herramientas OSINT, bots DeFi, contenedores GPT y utilidades con temas de seguridad diseñadas para atraer a analistas y desarrolladores.
Los primeros indicios de la campaña se remontan a mediados de junio de 2025, y desde entonces se han publicado constantemente nuevos “repositorios”. Las herramientas se promocionan en plataformas de redes sociales como YouTube y
Los actores de amenazas detrás de la campaña utilizan cuentas de GitHub recién creadas o aquellas que han estado inactivas durante meses para publicar los repositorios, inyectando secretamente la carga maliciosa en forma de confirmaciones de “mantenimiento” en octubre y noviembre, después de que las herramientas comenzaron a ganar popularidad y llegaron a las listas de principales tendencias de GitHub.
De hecho, muchas de las herramientas no funcionaron como se anunciaba, en algunos casos solo mostraban menús estáticos o interfaces no interactivas, mientras que otras solo realizaban operaciones mínimas de marcador de posición. La intención detrás de la operación era darles una apariencia de legitimidad abusando de la confianza inherente de GitHub y engañando a los usuarios para que ejecutaran el cargador responsable de iniciar la cadena de infección.
Esto activa efectivamente la ejecución de una carga útil de aplicación HTML remota (HTA), que a su vez entrega el malware PyStoreRAT, que tiene capacidades para perfilar el sistema, verificar privilegios administrativos y escanear el sistema en busca de archivos relacionados con billeteras de criptomonedas, particularmente aquellos vinculados a Ledger Live, Trezor, Exodus, Atomic, Guarda y BitBox02.
El código auxiliar del cargador recopila una lista de productos antivirus instalados y verifica las cadenas que coinciden con “Falcon” (una referencia a CrowdStrike Falcon) o “Reason” (una referencia a Cybereason o ReasonLabs), probablemente para reducir la visibilidad. Si se detectan, inicia “mshta.exe” a través de “cmd.exe”. En caso contrario, continúa con la ejecución directa de mshta.exe.
La persistencia se logra configurando una tarea programada disfrazada de actualización automática de la aplicación NVIDIA. En el paso final, el malware se pone en contacto con un servidor externo para recuperar los comandos que se ejecutarán en el host. Algunos de los comandos admitidos se enumeran a continuación:
- Descargue y ejecute cargas útiles EXE, incluido Rhadamanthys
- Descargar y extraer archivos ZIP
- Descarga una DLL maliciosa y la ejecuta con “rundll32.exe”.
- Recupere código JavaScript sin formato y ejecútelo dinámicamente en la memoria con eval()
- Descargar e instalar paquetes MSI
- Genere un proceso secundario mshta.exe para cargar cargas útiles de HTA remotas adicionales
- Ejecute comandos de PowerShell directamente en la memoria
- Se propaga a través de dispositivos de almacenamiento extraíbles reemplazando documentos legítimos con archivos maliciosos de accesos directos de Windows (LNK).
- Eliminar la tarea programada para eliminar el rastro forense
Actualmente se desconoce quién está detrás de la operación, pero la presencia de artefactos en idioma ruso y patrones de codificación sugiere un actor de amenaza de probable origen en Europa del Este, dijo Morphisec.
“PyStoreRAT representa un cambio hacia implantes modulares basados en scripts que pueden adaptarse a los controles de seguridad y ofrecer múltiples formatos de carga útil”, concluyó Edri. “Su uso de HTA/JS para la ejecución, cargadores de Python para la implementación y lógica alternativa habilitada por Falcon crea una entrada sigilosa en la primera etapa que las soluciones EDR tradicionales solo detectan en las últimas etapas de la cadena de infección”.
La revelación se produce cuando el proveedor de seguridad chino QiAnXin detalla otro nuevo troyano de acceso remoto (RAT), con nombre en código SetcodeRat, que probablemente se ha propagado por todo el país a través de señuelos de publicidad maliciosa desde octubre de 2025. Se dice que cientos de computadoras, incluidas aquellas pertenecientes a gobiernos y empresas, fueron infectadas en un mes.
“El paquete de instalación malicioso primero verifica la región de la víctima”, dijo el Centro de Inteligencia de Amenazas de QiAnXin. “Si no es en el área de habla china, terminará automáticamente”.
El malware se disfraza de instaladores legítimos de programas populares como Google Chrome y sólo avanza a la siguiente etapa si el idioma del sistema coincide con China continental (Zh-CN), Hong Kong (Zh-HK), Macao (Zh-MO) y Taiwán (Zh-TW). Además, la ejecución se detendrá si la conexión a una URL de Bilibili (“api.bilibili(.)com/x/report/click/now”) no tiene éxito.
El siguiente paso es iniciar un ejecutable llamado pnm2png.exe para cargar zlib1.dll, que luego descifra el contenido de un archivo llamado qt.conf y lo ejecuta. La carga útil descifrada es una DLL que incorpora la carga útil RAT. SetcodeRat puede conectarse a Telegram o a un servidor de comando y control (C2) tradicional para recuperar instrucciones y realizar robo de datos.
Permite que el malware tome capturas de pantalla, registre pulsaciones de teclas, lea carpetas, establezca carpetas, inicie procesos, ejecute cmd.exe, establezca conexiones de socket, recopile información de conexión de red y del sistema y se actualice a una nueva versión.
About The Author
