Lo studio ricostruisce l’evoluzione di AsyncRAT e dei suoi derivati, evidenziando differenze e utilizzi. Alcune varianti sono potenziate, altre nate per gioco ma comunque pericolose. Il codice open source ne facilita la diffusione anche tra attori inesperti
ESET, leader europeo globale nel mercato della cybersecurity, ha pubblicato un’analisi dettagliata su AsyncRAT, un remote access tool pensato per monitorare e controllare dispositivi da remoto. Nel corso degli anni, AsyncRAT si è affermato come uno degli strumenti fondamentali del malware moderno, evolvendosi in una minaccia diffusa e dando origine a una rete ramificata di varianti e fork, ovvero versioni personalizzate e migliorate dell’originale. L’analisi pubblicata offre una panoramica sui fork più rilevanti, mettendone in luce l’evoluzione e le relazioni tra le diverse versioni.
AsyncRAT, RAT open source, è stato rilasciato su GitHub nel 2019 da un utente noto con il nickname NYAN CAT. Integra un’ampia gamma di funzionalità tipiche dei RAT, come keylogging, cattura dello schermo, furto di credenziali e altro ancora. La sua semplicità e il fatto di essere open source lo hanno reso uno strumento molto apprezzato nei contesti cybercriminali, con un utilizzo esteso in numerosi attacchi.
“AsyncRAT ha introdotto miglioramenti significativi, in particolare nell’architettura modulare e nelle funzionalità avanzate di evasione, che lo rendono più adattabile e difficile da rilevare nei moderni ambienti di threat intelligence. La struttura basata su plug-in e la facilità di modifica hanno favorito la proliferazione di numerosi fork, ampliando significativamente le possibilità di personalizzazione del malware”, spiega Nikola Knežević, ricercatore di ESET e autore della ricerca.
Fin dal suo rilascio, AsyncRAT ha generato una moltitudine di fork che ne hanno ampliato le funzionalità. Alcune versioni si sono evolute, aggiungendo nuove caratteristiche e perfezionamenti; altre, invece, si presentano con modifiche minime rispetto all’originale. Secondo i dati di telemetria raccolti da ESET, le varianti più utilizzate negli attacchi sono DcRat, VenomRAT e SilverRAT.
DcRat rappresenta un’evoluzione rispetto ad AsyncRAT per funzionalità e capacità operative, mentre VenomRAT introduce ulteriori strumenti avanzati. Tuttavia, non tutte le varianti di AsyncRAT sono nate con intenti “seri”: esistono anche fork creati con intento goliardico, come SantaRAT o BoratRAT. Pur nascendo come versioni provocatorie, ESET ha rilevato casi in cui sono stati utilizzati in attacchi reali. L’analisi di ESET Research prende in esame anche alcuni fork meno noti che, pur rappresentando meno dell’1% dei campioni rilevati, introducono funzionalità avanzate rispetto alla versione base. Si tratta spesso di sviluppi isolati, creati da singoli utenti o piccoli gruppi.
“La disponibilità di framework come AsyncRAT abbassa drasticamente la soglia d’accesso per chi si affaccia al cybercrimine, permettendo anche a soggetti poco esperti di lanciare attacchi sofisticati con uno sforzo minimo. Questo fenomeno contribuisce all’accelerazione nello sviluppo e nella personalizzazione di tool malevoli. Per contrastare questa evoluzione è fondamentale adottare strategie di detection proattiva e approfondite analisi comportamentali”, conclude Knežević.
