Investigadores detectan una oleada de ataques donde un script por lotes ofuscado se convierte en una herramienta de espionaje persistente que evade antivirus inyectándose en procesos legítimos de Windows.
Si notas que tu PC va lento al inicio, podría no ser solo la edad del equipo. Hoy 2 de febrero de 2026, la aparición de Pulsar RAT, un nuevo Troyano de Acceso Remoto que está infectando sistemas Windows mediante una combinación letal de persistencia en el registro y ejecución de cargas útiles “sin archivos” (in-memory).
Lo que distingue a Pulsar no es solo su capacidad de robo, sino su habilidad para sobrevivir. Utiliza una técnica de persistencia de “doble capa” y se camufla dentro de procesos del propio sistema operativo para que tu antivirus crea que todo está en orden.
La Infección: Silenciosa y Sin Admin
El ataque comienza de manera humilde pero efectiva:
- El Dropper: Un archivo por lotes (.bat) altamente ofuscado llega a la víctima (posiblemente vía phishing).
- Instalación Oculta: Se copia silenciosamente a una carpeta oculta dentro de AppData, evitando las carpetas de sistema protegidas.
- Persistencia de Usuario: Aquí está la clave. El malware se registra en la clave de registro HKCUSoftwareMicrosoftWindowsCurrentVersionRun.
- ¿Por qué importa? Al usar la clave CurrentUser en lugar de LocalMachine, no necesita privilegios de administrador para garantizar que se inicie cada vez que enciendes la computadora.
El Arsenal Técnico: PowerShell y Donut
Una vez establecido, Pulsar RAT despliega tácticas avanzadas de evasión:
- Living-off-the-Land (LotL): Utiliza herramientas nativas como PowerShell para descargar y ejecutar su carga útil, reduciendo la necesidad de descargar archivos .exe sospechosos que los antivirus bloquean fácilmente.
- Inyección de Procesos: Utiliza shellcode generado por la herramienta Donut para inyectarse directamente en la memoria de procesos legítimos como explorer.exe. Esto lo hace invisible para escaneos de disco tradicionales.
- Anti-Análisis: El malware tiene “ojos”. Monitorea constantemente en busca de herramientas de análisis (como Wireshark, x64dbg o dnSpy). Si detecta alguna ventana con estos nombres, se autodestruye o detiene su ejecución para evitar ser estudiado.
El Botín: ¿Qué buscan?
Pulsar RAT es un ladrón omnívoro. Una vez activo, comienza a recolectar:
- Credenciales: Contraseñas guardadas en navegadores.
- Criptomonedas: Archivos de billeteras digitales.
- Sesiones: Tokens de Discord y Telegram (a menudo usados para secuestrar cuentas y expandir el ataque a tus amigos).
- Conexiones: Configuraciones de VPN para acceder a redes corporativas.
Todo esto se comprime en un ZIP y se exfiltra, irónicamente, a través de Webhooks de Discord y Bots de Telegram, utilizando la infraestructura de chat legítima para esconder el tráfico de robo de datos.
Defensa y Detección
Dado que este malware vive en el registro y en la memoria:
- Revisa el Inicio: Utiliza el Administrador de Tareas o herramientas como Autoruns para inspeccionar la pestaña “Inicio”. Busca scripts sospechosos o rutas que apunten a carpetas temporales en AppData.
- Monitoreo de Red: Bloquea o alerta sobre tráfico saliente hacia la IP conocida del C2 (185.132.53.17:7800) o tráfico inusual hacia las APIs de Discord/Telegram si tu empresa no usa estas herramientas.
- PowerShell: Activa el registro de bloques de scripts de PowerShell para detectar ejecuciones ofuscadas.
