Un nuevo troyano de acceso remoto recientemente identificado, llamado KarstoRAT, ha sido detectado en análisis de sandbox y repositorios de malware desde principios de 2026. Este malware proporciona a los atacantes un amplio conjunto de capacidades de control remoto sobre máquinas Windows comprometidas, incluyendo la captura de la webcam, grabación de audio, registro de teclas, robo de capturas de pantalla y la capacidad de descargar y ejecutar cargas útiles adicionales bajo demanda. 

Se ha identificado un nuevo troyano de acceso remoto llamado KarstoRAT, encontrado en análisis de sandbox y repositorios de malware desde principios de 2026.

El malware proporciona a los atacantes un amplio conjunto de capacidades de control remoto sobre máquinas Windows comprometidas, incluyendo captura de webcam, grabación de audio, keylogging, robo de capturas de pantalla y la capacidad de descargar y ejecutar payloads adicionales bajo demanda.

KarstoRAT está diseñado para dar a sus operadores control total sobre un sistema infectado desde el momento en que se ejecuta por primera vez.

La muestra analizada es un ejecutable de Windows de 64 bits compilado con Microsoft Visual Studio 2022, con una marca de tiempo de compilación de depuración del 16 de febrero de 2026.

Se comunica con un servidor de comando y control (C2) hardcodeado en 212.227.65[.]132 a través del puerto 15144, utilizando la API Windows Internet (WinINet) para todo el tráfico saliente.

Una vez en ejecución, envía notificaciones de latido cada dos segundos, manteniendo un enlace constante con el servidor del atacante.

Los analistas de LevelBlue identificaron KarstoRAT durante una investigación de amenazas y señalaron que el malware no ha sido listado ni vendido públicamente en foros underground o mercados de cibercrimen.

Esto sugiere que podría ser una herramienta desarrollada de forma privada, utilizada por un pequeño grupo de operadores, en lugar de un RAT de commodity ampliamente distribuido.

La presencia de múltiples muestras en entornos de análisis públicos ofrece a los investigadores una rara ventana a una amenaza privada que solo recientemente ha aparecido en actividad del mundo real.

Lo que hace a KarstoRAT especialmente preocupante es su enfoque de ingeniería social para la distribución. Los investigadores descubrieron que la infraestructura C2 aloja un sitio falso de trading de Roblox llamado “Blox Stocks” y un panel de descarga de cheats llamado “Venom Files”.

La página de Blox Stocks apunta a jugadores más jóvenes de Roblox con promesas de artículos baratos dentro del juego, mientras que el panel de Venom Files atrae a modders de FPS y GTA con supuestos cheats premium para juegos. Ambas páginas están diseñadas para engañar a los usuarios y hacer que descarguen y ejecuten el malware.

El servidor C2 ejecuta una infraestructura en capas a través de múltiples puertos y servicios abiertos, incluyendo túneles SSH, APIs de Node.js y un proxy VMess enrutado a través de Cloudflare Argo WebSocket en el puerto 443 con fingerprinting TLS configurado para Firefox.

Esta configuración ofuscada ayuda al malware a mezclarse con el tráfico normal y mantener el acceso dentro de entornos de red restringidos.

Capacidades de Vigilancia y Ejecución de Payloads

Una vez que KarstoRAT se ejecuta en la máquina de una víctima, entra en un bucle de sondeo infinito de dos segundos y espera comandos del servidor C2.

La visión general de la muestra en PEStudio muestra que el ejecutable tiene una entropía moderada sin empaquetado aplicado.

El módulo de webcam, activado por el comando WEBCAM, crea una ventana de captura invisible, se conecta al controlador de webcam predeterminado, captura un solo fotograma, lo guarda como un archivo BMP temporal (webcap.bmp) y lo sube al endpoint /upload-webcam antes de eliminarlo del disco.

No aparece ninguna ventana en pantalla ni se muestra ninguna alerta visible a la víctima durante todo el proceso.

La función de grabación de audio utiliza la Interfaz de Comandos Multimedia de Windows (MCI) para abrir silenciosamente el micrófono de la víctima, grabar durante una duración establecida por el atacante, guardar el resultado como un archivo WAV temporal y subirlo al endpoint /upload-audio.

El proceso de grabación se ejecuta en un hilo en segundo plano dedicado, manteniendo el proceso principal completamente responsivo.

El keylogger instala un gancho de teclado de bajo nivel utilizando SetWindowsHookExA y captura cada pulsación de tecla en todas las aplicaciones activas, enviando los datos al endpoint /upload-keylog mediante una solicitud HTTP POST.

Para la persistencia, KarstoRAT utiliza tres métodos distintos: una clave de ejecución en el Registro de Windows llamada “SecurityService”, una Tarea Programada llamada “SystemCheck” y una copia de sí mismo colocada en la carpeta de Inicio de Windows.

Un bypass de UAC utilizando fodhelper.exe permite al malware obtener privilegios elevados sin mostrar ningún aviso de seguridad a la víctima.

Las organizaciones deben bloquear inmediatamente la dirección IP del C2 212.227.65[.]132 y monitorear conexiones en los puertos 15144 y 13614.

Los equipos de seguridad deben escanear los registros de red en busca del agente de usuario “SecurityNotifier” y verificar entradas de registro bajo HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SecurityService y Tareas Programadas llamadas “SystemCheck”.

Las herramientas de detección en endpoints deben configurarse para marcar cualquier instancia de fodhelper.exe combinada con modificaciones en el registro de HKCU.

Todos los usuarios deben evitar descargar cheats de juegos o herramientas de trading de fuentes de terceros no verificadas.