📅 Source : Censys Blog, publié le 26 juin 2026, par Aidan Holland (Senior Security Researcher, Censys ARC).
Contexte
AsyncRAT est un cheval de Troie d’accès distant (RAT) open-source pour Windows, publié en janvier 2019 par le développeur NYAN-x-CAT sur GitHub. Il constitue la racine d’une famille de malwares ayant engendré environ 40 variants nommés à travers trois générations de forks successifs.
Arbre généalogique de la famille
La lignée s’organise ainsi :
- AsyncRAT (racine) → DCRAT (DarkCrystal RAT, descendant le plus prolifique)
- DCRAT → VenomRAT, EchoRAT, Gh0stRAT, BitRAT, CyberSpike, Dumpling RAT, DarkRAT (via ShaShenRAT)
- VenomRAT → LMTeamRAT, Alfa Red Fox, et d’autres forks
Deux handles de builders sont identifiés dans les certificats : qwqdanchun (auteur du dépôt public DcRat, visible dans Gh0stRAT et LMTeamRAT) et alexeikun (visible dans un fork VenomRAT).
Infrastructure C2 confirmée (16 juin 2026)
| Variant | Hosts confirmés | Identifiant |
|---|---|---|
| AsyncRAT | ~49 | THREAT-0169 |
| DCRAT | ~36 | THREAT-0165 |
| Gh0stRAT | ~21 | THREAT-0165 (fusionné DCRAT) |
| VenomRAT | ~18 | THREAT-0167 |
| BitRAT | ~1 | THREAT-0162 |
| ElegyRAT | 1 | THREAT-245 |
| LMTeamRAT | 1 | THREAT-246 |
| EchoRAT | quelques hosts | THREAT-247 |
| JasonRAT | 1 | THREAT-248 |
| Dumpling RAT | 1 | THREAT-249 |
| CyberSpike | 1 | THREAT-250 |
| DarkRAT | 0 | THREAT-251 |
| Alfa Red Fox | 0 | THREAT-252 |
Signal de détection central
La structure de certificat TLS héritée de DCRAT constitue le signal de détection le plus fiable pour l’ensemble de la famille. Le pattern O=<Name> By <author>, L=SH, C=CN servi sur des ports non-standard identifie la famille indépendamment du variant déployé. Les noms de variants et les handles de builders apparaissent dans les champs Subject/Issuer des certificats auto-signés.
Limites de la chasse par nom
Certains noms de variants entrent en collision avec des entités légitimes (PhoenixRAT → Phoenix Contact GmbH, PegasusRAT → NSO Group, MagnumRAT → entreprises non liées), rendant la détection par nom seul inefficace pour ces variants.
Nature de l’article
Il s’agit d’une publication de recherche CTI produite par Censys ARC, visant à cartographier la famille AsyncRAT, documenter les identifiants de tracking internes (THREAT-245 à THREAT-252), et fournir des signatures de détection basées sur les métadonnées de certificats TLS.
🧠 TTPs et IOCs détectés
Acteurs de menace
- qwqdanchun (cybercriminal) —
- alexeikun (cybercriminal) —
- NYAN-x-CAT (cybercriminal) —
TTP
- T1219 — Remote Access Software (Command and Control)
- T1071 — Application Layer Protocol (Command and Control)
- T1587.001 — Develop Capabilities: Malware (Resource Development)
- T1588.001 — Obtain Capabilities: Malware (Resource Development)
- T1583.003 — Acquire Infrastructure: Virtual Private Server (Resource Development)
IOC
- IPv4 :
192.229.116.23— AbuseIPDB · VT · ThreatFox - IPv4 :
192.238.134.73— AbuseIPDB · VT · ThreatFox - IPv4 :
107.175.159.134— AbuseIPDB · VT · ThreatFox - IPv4 :
47.98.129.153— AbuseIPDB · VT · ThreatFox - IPv4 :
121.199.75.205— AbuseIPDB · VT · ThreatFox
Malware / Outils
- AsyncRAT (rat)
- DCRAT (rat)
- VenomRAT (rat)
- Gh0stRAT (rat)
- BitRAT (rat)
- ElegyRAT (rat)
- LMTeamRAT (rat)
- EchoRAT (rat)
- JasonRAT (rat)
- Dumpling RAT (rat)
- CyberSpike (rat)
- DarkRAT (rat)
- Alfa Red Fox (rat)
- ShaShenRAT (rat)
- Quasar RAT (rat)
- NonEuclid (rat)
- ArchosaurRAT (rat)
- ShiningForceRAT (rat)
- CYB3R RAT (rat)
- SantaRAT (rat)
🟢 Indice de vérification factuelle : 75/100 (haute)
- ✅ censys.com — source reconnue (Rösti community) (20pts)
- ✅ 10312 chars — texte complet (fulltext extrait) (15pts)
- ✅ 5 IOCs (IPs/domaines/CVEs) (10pts)
- ⬜ 0/3 IOCs confirmés externellement (0pts)
- ✅ 5 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ✅ acteur(s) identifié(s) : qwqdanchun, alexeikun, NYAN-x-CAT (5pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://censys.com/blog/asyncrat-family-threat-overview/