«Я вижу твой рабочий стол». Старый добрый AsyncRAT переживает вторую молодость

В интернете зафиксирован заметный рост активности инфраструктуры, связанной с вредоносным инструментом удалённого доступа AsyncRAT. Анализ глобальной сетевой видимости показывает, что управляющие серверы этого семейства продолжают массово разворачиваться на доступных хостингах и остаются рабочим инструментом для атак и кражи данных.

AsyncRAT представляет собой открытый троян удалённого управления на платформе .NET, написанный на C#, опубликованный ещё в 2019 году. За прошедшее время он широко разошёлся по подпольным сообществам, получил множество модификаций и стал основой для таких семейств, как DCRat и VenomRAT. Программа позволяет злоумышленникам закрепляться в системе, выполнять команды, перехватывать нажатия клавиш, делать снимки экрана и извлекать учётные данные. Связь с серверами управления ведётся по TCP с шифрованием SSL/TLS.

По данным платформы сетевой разведки Censys, в январе 2026 года в публичной сети наблюдалось 57 активных узлов, связанных с AsyncRAT. Большая часть размещена у провайдеров виртуальных серверов с невысокой стоимостью услуг. Наиболее часто такие серверы встречаются в сетях APIVERSA и Contabo, а также у ряда реселлеров. География адресов в основном относится к США, Нидерландам и Германии, что связано прежде всего с плотностью дата-центров.

Почти все обнаруженные узлы используют самоподписанный TLS-сертификат с именем AsyncRAT Server. Такой повторяющийся признак позволяет выявлять связанную инфраструктуру в масштабе без привязки к отдельным образцам файлов. На части адресов одновременно работают несколько экземпляров управляющих служб на соседних портах, что указывает на параллельные кампании или резервирование каналов управления.

Дополнительно специалисты выявили размещённые в открытых каталогах исполняемые файлы с типовым именем клиента AsyncClient.exe. Разбор конфигурации показал характерную архитектуру .NET-приложения AsyncRAT с использованием MessagePack, загрузкой модулей в память и шифрованными параметрами подключения. Признаков, характерных для VenomRAT, в этих образцах не обнаружено.

Отдельное внимание привлёк вариант сертификата с китайской локализацией имени сервера. Это говорит о расширении круга операторов и использовании инструмента за пределами привычных регионов активности. Подобная тенденция уже была зафиксирована в контексте других RAT-семейств, распространяемых через модифицированные легитимные инструменты.

AsyncRAT остаётся опасным из-за механизмов скрытого закрепления и кражи учётных данных. Для выявления рекомендуется отслеживать подозрительные задания планировщика, записи автозапуска в реестре, а также исходящие TLS-соединения с характерными сертификатами и нетипичными портами. Регулярный мониторинг сетевых индикаторов помогает заранее обнаруживать C2-каналы управления и блокировать их.