{"id":177,"date":"2026-03-06T17:32:23","date_gmt":"2026-03-06T17:32:23","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/06\/malware-voidgeist-de-multiples-etapas-que-entrega-xworm-asyncrat-y-xeno-rat-cyberdefensa-mx\/"},"modified":"2026-03-06T17:32:23","modified_gmt":"2026-03-06T17:32:23","slug":"malware-voidgeist-de-multiples-etapas-que-entrega-xworm-asyncrat-y-xeno-rat-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/06\/malware-voidgeist-de-multiples-etapas-que-entrega-xworm-asyncrat-y-xeno-rat-cyberdefensa-mx\/","title":{"rendered":"Malware VOID#GEIST de m\u00faltiples etapas que entrega XWorm, AsyncRAT y Xeno RAT \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Investigadores de ciberseguridad han revelado detalles de una campa\u00f1a de malware de varias etapas que utiliza secuencias de comandos por lotes como v\u00eda para entregar varias cargas \u00fatiles de troyanos de acceso remoto (RAT) cifrados que corresponden a XWorm, AsyncRAT y Xeno RAT.<\/p>\n<p>La cadena de ataque sigiloso ha recibido un nombre en clave <strong>VAC\u00cdO#GEIST<\/strong> por Securonix Threat Research.<\/p>\n<p>En un nivel alto, el script por lotes ofuscado se utiliza para implementar un segundo script por lotes, preparar un tiempo de ejecuci\u00f3n de Python incorporado leg\u00edtimo y descifrar blobs de c\u00f3digo shell cifrados, que se ejecutan directamente en la memoria inyect\u00e1ndolos en instancias separadas de \u00abexplorer.exe\u00bb usando una t\u00e9cnica llamada <a href=\"https:\/\/attack.mitre.org\/techniques\/T1055\/004\/\" rel=\"noopener\" target=\"_blank\">Inyecci\u00f3n de llamada de procedimiento asincr\u00f3nico (APC) anticipada<\/a>.<\/p>\n<p>\u00abLas campa\u00f1as de malware modernas pasan cada vez m\u00e1s de ejecutables independientes a marcos de entrega complejos basados \u200b\u200ben scripts que imitan fielmente la actividad leg\u00edtima de los usuarios\u00bb, afirman los investigadores Akshay Gaikwad, Shikha Sangwan y Aaron Beardslee. <a href=\"https:\/\/www.securonix.com\/blog\/voidgeist-stealthy-multi-stage-python-loader\/\" rel=\"noopener\" target=\"_blank\">dicho<\/a> en un informe t\u00e9cnico compartido con The Hacker News.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/not-fast-enough-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhlXM830ruQd2xT6M7JNeNRjaFa1onD12WjSCHihTFMTzbyfT9h-irPmXy_h3E1HGSs6sdv7FTmnyNVTM5kmSb7BuUtZe8gKoTQt99P1sSzRcqqXpOJP6eoAOhR3DGb6qHx9kOZ_HBZUMmVnsnd0DM7QfUp81bgzTvvgLww6oqB-EhnDfWXH5pWCYhAsyLs\/s728-e100\/tl-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>\u00abEn lugar de implementar binarios de PE tradicionales, los atacantes aprovechan canales modulares que comprenden secuencias de comandos por lotes para la orquestaci\u00f3n, PowerShell para una puesta en escena sigilosa, tiempos de ejecuci\u00f3n incorporados leg\u00edtimos para la portabilidad y c\u00f3digo shell sin procesar ejecutado directamente en la memoria para persistencia y control\u00bb.<\/p>\n<p>Este mecanismo de ejecuci\u00f3n sin archivos minimiza las oportunidades de detecci\u00f3n basadas en disco, lo que permite a los actores de amenazas operar dentro de sistemas comprometidos sin activar alertas de seguridad. Es m\u00e1s, este enfoque ofrece una ventaja adicional en el sentido de que estas etapas individuales parecen inofensivas de forma aislada y se asemejan a una actividad administrativa normal.<\/p>\n<p>El punto de partida del ataque es un script por lotes que se obtiene de un dominio de TryCloudflare y se distribuye a trav\u00e9s de correos electr\u00f3nicos de phishing. Una vez lanzado, evita deliberadamente tomar medidas para escalar privilegios y aprovecha los derechos de permiso del usuario actualmente conectado para establecer un punto de apoyo inicial, mientras se mezcla con operaciones administrativas aparentemente inocuas.<\/p>\n<p>La etapa inicial sirve como plataforma de lanzamiento para mostrar un PDF se\u00f1uelo al iniciar Google Chrome en pantalla completa. El documento financiero o la factura mostrados sirven como distracci\u00f3n visual para ocultar lo que sucede detr\u00e1s de escena. Esto incluye iniciar un comando de PowerShell para volver a ejecutar el script por lotes original, como usar el par\u00e1metro -WindowStyle Hidden, para evitar mostrar una ventana de consola.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEg9fdseE0TzY2wP_KqPhrpB_H5zxNB7DwoN6ZGKVg2FmrVaDAGgQZcPNJ-ukwD2s0BIgFhlizMCk81DQp24XpCZLqGfm1x8mv4TjzHDbr6oFhuEPetiKRaxq1g-P9FEkdGUWAojjYrthXBkVMcb128uRoNZ1_ZSbd4XX50F8bLe7HjP9LmSxfn4DzMwxsOA\/s1700-e365\/sec.jpg\" style=\"display: block;  text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEg9fdseE0TzY2wP_KqPhrpB_H5zxNB7DwoN6ZGKVg2FmrVaDAGgQZcPNJ-ukwD2s0BIgFhlizMCk81DQp24XpCZLqGfm1x8mv4TjzHDbr6oFhuEPetiKRaxq1g-P9FEkdGUWAojjYrthXBkVMcb128uRoNZ1_ZSbd4XX50F8bLe7HjP9LmSxfn4DzMwxsOA\/s1700-e365\/sec.jpg\" alt=\"\" border=\"0\" data-original-height=\"476\" data-original-width=\"800\"\/><\/a><\/div>\n<p>Para garantizar la persistencia entre reinicios del sistema, se coloca un script por lotes auxiliar en el directorio de inicio del usuario de Windows para que se ejecute autom\u00e1ticamente cada vez que la v\u00edctima inicia sesi\u00f3n en el sistema. La ausencia de m\u00e9todos de persistencia m\u00e1s intrusivos es intencionada, ya que reduce la huella forense.<\/p>\n<p>\u00abT\u00e9cnicamente, este m\u00e9todo de persistencia opera completamente dentro del contexto de privilegios del usuario actual. No modifica las claves de registro de todo el sistema, no crea tareas programadas ni instala servicios\u00bb, dijeron los investigadores. \u00abEn cambio, se basa en un comportamiento de inicio est\u00e1ndar a nivel de usuario, que no requiere elevaci\u00f3n y genera una fricci\u00f3n de seguridad m\u00ednima. Esta elecci\u00f3n de dise\u00f1o reduce la probabilidad de activar mensajes de escalada de privilegios o alertas de monitoreo de registro\u00bb.<\/p>\n<p>La siguiente fase comienza cuando el malware llega a un dominio de TryCloudflare para recuperar cargas \u00fatiles adicionales en forma de archivos ZIP que contienen varios archivos.<\/p>\n<ul>\n<li><strong>runn.py<\/strong>un script de carga basado en Python responsable de descifrar e inyectar m\u00f3dulos de carga \u00fatil de shellcode cifrados en la memoria<\/li>\n<li><strong>nuevo.bin<\/strong>una carga \u00fatil de shellcode cifrada correspondiente a XWorm<\/li>\n<li><strong>xn.bin<\/strong>una carga \u00fatil de shellcode cifrada correspondiente a Xeno RAT<\/li>\n<li><strong>pul.bin<\/strong>una carga \u00fatil de shellcode cifrada correspondiente a AsyncRAT <\/li>\n<li><strong>a.json, n.json,<\/strong> y <strong>p.json<\/strong>archivos de claves que contienen las claves de descifrado requeridas por el cargador de Python para descifrar din\u00e1micamente el c\u00f3digo shell en tiempo de ejecuci\u00f3n<\/li>\n<\/ul>\n<p>Una vez que se extraen los archivos, la secuencia de ataque implementa un tiempo de ejecuci\u00f3n de Python integrado leg\u00edtimo directamente desde Python.[.]org. Este paso ofrece varias ventajas. Para empezar, elimina cualquier dependencia del sistema. Como resultado, el malware puede seguir funcionando incluso si el punto final infectado tiene Python instalado.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/fs-report-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjWQgUDT06NQu9vGMPC7BWROmJABTIWg058l7oGKD-v3ZchC8_66xjbclOE9koChsRf5CEKgqrXTVrne_00PdGokh3brhvF-g33I4FYYpTukrvuNQWXZOVAfon6-2axyRoVJ4uOrXPqRhxfZUaJWEm-K9esUS3ql8VSVWAKLqyfhHLgMSXhkMTkcOtGSX7R\/s728-e100\/fs-report-d.png\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>\u00abDesde la perspectiva del atacante, los objetivos de esta etapa son la portabilidad, la confiabilidad y el sigilo\u00bb, dijo Securonix. \u00abAl incorporar un int\u00e9rprete leg\u00edtimo en el directorio de preparaci\u00f3n, el malware se transforma en un entorno de ejecuci\u00f3n totalmente aut\u00f3nomo capaz de descifrar e inyectar m\u00f3dulos de carga \u00fatil sin depender de componentes externos del sistema\u00bb.<\/p>\n<p>El objetivo principal del ataque es aprovechar el tiempo de ejecuci\u00f3n de Python para iniciar \u00abrunn.py\u00bb, que luego descifra y ejecuta la carga \u00fatil de XWorm mediante la inyecci\u00f3n Early Bird APC. El malware tambi\u00e9n utiliza un binario leg\u00edtimo de Microsoft, \u00abAppInstallerPythonRedirector.exe\u00bb, para invocar Python e iniciar Xeno RAT. En la \u00faltima etapa, el cargador de Python utiliza el mismo mecanismo de inyecci\u00f3n para iniciar AsyncRAT.<\/p>\n<p>La cadena de infecci\u00f3n culmina cuando el malware transmite una baliza HTTP m\u00ednima a la infraestructura C2 controlada por el atacante alojada en TryCloudflare para confirmar la irrupci\u00f3n digital. Actualmente no se sabe qui\u00e9nes fueron los objetivos del ataque y si hubo alg\u00fan compromiso exitoso.<\/p>\n<p>\u00abEste patr\u00f3n de inyecci\u00f3n repetida refuerza la arquitectura modular del marco. En lugar de entregar una \u00fanica carga \u00fatil monol\u00edtica, el atacante implementa componentes de forma incremental, mejorando la flexibilidad y la resistencia\u00bb, dijo Securonix. \u00abDesde el punto de vista de la detecci\u00f3n, la inyecci\u00f3n repetida de procesos en explorer.exe en periodos cortos de tiempo es un fuerte indicador de comportamiento que se correlaciona entre las etapas del ataque\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Investigadores de ciberseguridad han revelado detalles de una campa\u00f1a de malware de varias etapas que utiliza secuencias de comandos por lotes como v\u00eda para entregar varias cargas \u00fatiles de troyanos de acceso remoto (RAT) cifrados que corresponden a XWorm, AsyncRAT y Xeno RAT. La cadena de ataque sigiloso ha recibido un nombre en clave VAC\u00cdO#GEIST [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[576,24,361,574,60,573,209,572,577,575],"class_list":["post-177","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-asyncrat","tag-cyberdefensa-mx","tag-entrega","tag-etapas","tag-malware","tag-multiples","tag-rat","tag-voidgeist","tag-xeno","tag-xworm"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/177","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=177"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/177\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=177"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=177"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=177"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}