{"id":30793,"date":"2025-06-09T10:42:20","date_gmt":"2025-06-09T08:42:20","guid":{"rendered":"https:\/\/www.metafrase.com\/blog\/?p=30793"},"modified":"2025-06-09T10:56:51","modified_gmt":"2025-06-09T08:56:51","slug":"sakura-rat-retirado-de-github","status":"publish","type":"post","link":"https:\/\/www.metafrase.com\/blog\/sakura-rat-retirado-de-github\/","title":{"rendered":"Sakura RAT retirado de GitHub en menos de 10 d\u00edas"},"content":{"rendered":"\t\t<div data-elementor-type=\"wp-post\" data-elementor-id=\"30793\" class=\"elementor elementor-30793\" data-elementor-post-type=\"post\">\n\t\t\t\t<div class=\"elementor-element elementor-element-51f088b2 e-flex e-con-boxed e-con e-parent\" data-id=\"51f088b2\" data-element_type=\"container\" data-e-type=\"container\">\n\t\t\t\t\t<div class=\"e-con-inner\">\n\t\t\t\t<div class=\"elementor-element elementor-element-36e0389a elementor-widget elementor-widget-text-editor\" data-id=\"36e0389a\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<p><b>Una herramienta con capacidades ofensivas avanzadas se difundi\u00f3 como \u201ceducativa\u201d en GitHub y fue retirada tras levantar sospechas entre profesionales del sector.<\/b><\/p><h3><b>\ud83e\uddec Qu\u00e9 es Sakura RAT y por qu\u00e9 preocupa<\/b><\/h3><p><span style=\"font-weight: 400;\">Recientemente se public\u00f3 en GitHub una herramienta de administraci\u00f3n remota (RAT o <i>Remote Access Toolkit<\/i>) llamada <\/span><b>Sakura RAT<\/b><span style=\"font-weight: 400;\">, supuestamente destinada a investigadores de seguridad. Sin embargo, su dise\u00f1o y funcionalidad dejaban claro que est\u00e1bamos ante un arma digital capaz de evadir eficazmente la mayor\u00eda de soluciones antivirus y EDR.<\/span><\/p><p><span style=\"font-weight: 400;\">Entre sus capacidades t\u00e9cnicas m\u00e1s destacadas:<\/span><\/p><ul><li style=\"font-weight: 400;\" aria-level=\"1\"><b>Navegador oculto<\/b><span style=\"font-weight: 400;\">: permite al atacante navegar por internet desde el sistema v\u00edctima sin generar actividad visible.<\/span>\u00a0<\/li><li style=\"font-weight: 400;\" aria-level=\"1\"><b>HVNC (Hidden Virtual Network Computing)<\/b><span style=\"font-weight: 400;\">: acceso remoto invisible al escritorio, sin ventanas emergentes ni alertas.<\/span>\u00a0<\/li><li style=\"font-weight: 400;\" aria-level=\"1\"><b>Ejecuci\u00f3n sin archivos (fileless)<\/b><span style=\"font-weight: 400;\">: carga maliciosa ejecutada directamente en memoria, sin pasar por disco.<\/span>\u00a0<\/li><li style=\"font-weight: 400;\" aria-level=\"1\"><b>Soporte multi-sesi\u00f3n<\/b><span style=\"font-weight: 400;\">: control de m\u00faltiples sistemas infectados de forma simult\u00e1nea.<\/span>\u00a0<\/li><li style=\"font-weight: 400;\" aria-level=\"1\"><b>Evasi\u00f3n avanzada<\/b><span style=\"font-weight: 400;\">: t\u00e9cnicas de ofuscaci\u00f3n, ejecuci\u00f3n en memoria y manipulaci\u00f3n de procesos para evitar detecci\u00f3n.<\/span>\u00a0<\/li><\/ul><p><span style=\"font-weight: 400;\">Esta combinaci\u00f3n de funcionalidades convierte a Sakura RAT en una amenaza considerable para cualquier entorno Windows, especialmente si no cuenta con soluciones modernas de protecci\u00f3n basadas en comportamiento.<\/span><\/p><p><span style=\"font-weight: 400;\">\u00a0<\/span><\/p><h3><b style=\"color: inherit;\">\ud83d\udd2c An\u00e1lisis de comportamiento con Sophos Intercept X<\/b><\/h3><p><span style=\"font-weight: 400;\">Desde METAFRASE analizamos el comportamiento del proyecto utilizando <\/span><a href=\"https:\/\/www.metafrase.com\/blog\/mdr-vs-edr\/\"><b>Sophos Intercept X con XDR<\/b><\/a><span style=\"font-weight: 400;\">. Solo con intentar compilar el c\u00f3digo en Visual Studio, se dispararon m\u00faltiples alertas:<\/span><\/p><ul><li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Accesos no autorizados a PowerShell y t\u00e9cnicas de ejecuci\u00f3n en memoria<\/span>\u00a0<\/li><li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Intentos de <\/span><i><span style=\"font-weight: 400;\">credential dumping<\/span><\/i>\u00a0<\/li><li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Conexiones a servicios externos y posibles tareas de exfiltraci\u00f3n<\/span>\u00a0<\/li><\/ul><p><span style=\"font-weight: 400;\">La amenaza fue identificada como <\/span><b>Troj\/Boxtor<\/b><span style=\"font-weight: 400;\">, confirmando que la propia compilaci\u00f3n era el vector de activaci\u00f3n. Este tipo de ataques subraya la importancia de tener soluciones EDR con capacidades <\/span><i><span style=\"font-weight: 400;\">anti-exploit<\/span><\/i><span style=\"font-weight: 400;\">, an\u00e1lisis de memoria y visibilidad del sistema en tiempo real.<\/span><\/p><p><span style=\"font-weight: 400;\">\u00a0<\/span><\/p><h3><b>\ud83e\uddf1 El problema de la divulgaci\u00f3n irresponsable<\/b><\/h3><p><span style=\"font-weight: 400;\">M\u00e1s all\u00e1 del riesgo t\u00e9cnico, lo preocupante es c\u00f3mo ciertos medios difundieron la existencia del RAT sin verificar su naturaleza. Aunque el repositorio fue retirado de GitHub tras ser reportado, la r\u00e1pida propagaci\u00f3n del enlace (incluso en publicaciones \u201ceducativas\u201d) podr\u00eda haber facilitado su uso por parte de actores maliciosos.<\/span><\/p><p><span style=\"font-weight: 400;\">Este caso plantea un debate serio sobre la <\/span><b>responsabilidad en la divulgaci\u00f3n de herramientas ofensivas<\/b><span style=\"font-weight: 400;\">. \u00bfHasta qu\u00e9 punto se justifica publicar c\u00f3digo peligroso con fines \u201cdid\u00e1cticos\u201d? \u00bfD\u00f3nde trazamos la l\u00ednea entre investigaci\u00f3n leg\u00edtima y facilitaci\u00f3n del cibercrimen?<\/span><\/p><p><span style=\"font-weight: 400;\">\u00a0<\/span><\/p><h3><b>\ud83e\udd1d Conclusi\u00f3n: la vigilancia sigue siendo clave<\/b><\/h3><p><span style=\"font-weight: 400;\">Sakura RAT ha sido retirado, pero no ser\u00e1 el \u00faltimo intento de colar malware disfrazado de herramienta para <\/span><i><span style=\"font-weight: 400;\">researchers<\/span><\/i><span style=\"font-weight: 400;\">. Por eso, desde METAFRASE recordamos que:<\/span><\/p><ul><li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">La seguridad debe abordarse con una mentalidad de <\/span><i><span style=\"font-weight: 400;\">defensa activa<\/span><\/i><span style=\"font-weight: 400;\">.<\/span>\u00a0<\/li><li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">La visibilidad completa del endpoint y del comportamiento del sistema es fundamental.<\/span>\u00a0<\/li><li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">El an\u00e1lisis humano, apoyado por herramientas como Sophos Intercept X, sigue siendo el mejor escudo ante amenazas complejas.<\/span>\u00a0<\/li><\/ul><p><span style=\"font-weight: 400;\">Si te preocupa que tu infraestructura no est\u00e9 preparada para ataques tan sofisticados como este, desde METAFRASE te ayudamos a auditar y fortalecer tu entorno IT.<\/span><\/p><p style=\"text-align: center;\"><b><a href=\"https:\/\/www.metafrase.com\/contacto\/\">Cont\u00e1ctanos<\/a> y descubre c\u00f3mo podemos ayudarte a reforzar tu seguridad con soluciones de nueva generaci\u00f3n.<\/b><\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"<p>Una herramienta con capacidades ofensivas avanzadas se difundi\u00f3 como \u201ceducativa\u201d en GitHub y fue retirada tras levantar sospechas entre profesionales del sector. \ud83e\uddec Qu\u00e9 es Sakura RAT y por qu\u00e9 preocupa Recientemente se public\u00f3 en GitHub una herramienta de administraci\u00f3n remota (RAT o Remote Access Toolkit) llamada Sakura RAT, supuestamente destinada a investigadores de seguridad. [&hellip;]<\/p>\n","protected":false},"author":5,"featured_media":30800,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[86,88],"tags":[89,52,92,90],"class_list":["post-30793","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sophos-endpoint","category-sophos","tag-edr","tag-endpoint-2","tag-mdr","tag-xdr"],"_links":{"self":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts\/30793","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/comments?post=30793"}],"version-history":[{"count":11,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts\/30793\/revisions"}],"predecessor-version":[{"id":30807,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts\/30793\/revisions\/30807"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/media\/30800"}],"wp:attachment":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/media?parent=30793"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/categories?post=30793"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/tags?post=30793"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}