**Cleafy**, una firma italiana de prevención de fraudes en línea, ha identificado que **Mirax** integra capacidades avanzadas de RAT, otorgando a los actores de amenazas interacción en tiempo real con los dispositivos comprometidos. Más allá de las funciones típicas de un RAT, Mirax aumenta su valor al transformar los dispositivos infectados en nodos proxy residenciales, aprovechando el soporte del protocolo SOCKS5 y la multiplexación Yamux para canales proxy persistentes. ### Mirax: Una Oferta de Malware-as-a-Service Los detalles de Mirax salieron a la luz el mes pasado cuando KrakenLabs de **Outpost24** informó que un actor de amenazas, "Mirax Bot", estaba anunciando una oferta privada de malware-as-a-service (MaaS) en foros clandestinos. El paquete completo cuesta $2.500 por una suscripción de tres meses, mientras que una variante ligera, que carece de funciones de proxy y capacidades de elusión de Google Play Protect a través de un crypter, está disponible por $1.750 al mes. Al igual que otro malware para Android, Mirax captura las pulsaciones de teclas, roba fotos, recopila detalles de la pantalla de bloqueo, ejecuta comandos, navega por la interfaz de usuario y monitorea la actividad del usuario. Obtiene dinámicamente páginas de superposición HTML de un servidor de comando y control (C2) para el robo de credenciales. ### Funcionalidad de Proxy Residencial La incorporación de un proxy SOCKS distingue a Mirax de los RAT convencionales. Esta botnet de proxy permite a los actores de amenazas eludir las restricciones basadas en geolocalización, evadir los sistemas de detección de fraude y realizar tomas de control de cuentas o fraudes de transacciones bajo el pretexto de anonimato. "A diferencia de las ofertas típicas de MaaS, Mirax se distribuye a través de un modelo altamente controlado y exclusivo, limitado a un pequeño número de afiliados", señalaron los investigadores de **Cleafy**. Se prioriza el acceso a actores de habla rusa con reputaciones establecidas, lo que indica un esfuerzo deliberado para mantener la seguridad operativa. ### Distribución a través de Anuncios de Meta Las cadenas de ataque que distribuyen el malware utilizan anuncios de **Meta** para promocionar páginas web de aplicaciones dropper, engañando a los usuarios para que las descarguen. Se han observado hasta seis anuncios, a menudo promocionando un servicio de streaming con acceso gratuito a deportes en vivo y películas. Cinco anuncios se dirigieron a usuarios en España. Un anuncio, activo desde el 6 de abril de 2026, llegó a más de 190.000 cuentas.  Las URL de las aplicaciones dropper implementan verificaciones para garantizar el acceso desde dispositivos móviles y prevenir escaneos automatizados. Ejemplos de aplicaciones maliciosas incluyen: * StreamTV (org.lgvvfj.pluscqpuj o org.dawme.secure5ny) - Aplicación dropper * Reproductor de video (org.yjeiwd.plusdc71 o org.azgaw.managergst1d) - Mirax Un aspecto notable es el uso de **GitHub** para alojar los archivos APK del dropper malicioso. El panel del constructor permite seleccionar entre dos crypters: Virbox y **Golden Crypt** (también conocido como Golden Encryption) para una protección mejorada del APK. ### Proceso de Infección Una vez instalado, el dropper instruye a los usuarios a permitir la instalación desde fuentes desconocidas. El proceso de extracción es una operación de múltiples etapas diseñada para evadir el análisis de seguridad y las herramientas de sandboxing. El malware se disfraza de utilidad de reproducción de video, solicitando a los usuarios que habiliten los servicios de accesibilidad. Se ejecuta en segundo plano, muestra un mensaje de error falso y presenta superposiciones falsas para ocultar actividades maliciosas. Establece múltiples canales C2 bidireccionales: * WebSocket en el puerto 8443: Acceso remoto y ejecución de comandos. * WebSocket en el puerto 8444: Transmisión remota y exfiltración de datos. * WebSocket en el puerto 8445 (o un puerto personalizado): Configuración de proxy residencial utilizando SOCKS5. "Esta convergencia de capacidades de RAT y proxy refleja un cambio más amplio en el panorama de amenazas", afirmó **Cleafy**. "Si bien el abuso de proxies residenciales se ha asociado históricamente con dispositivos IoT comprometidos, Mirax marca una nueva fase al integrar esta funcionalidad dentro de un troyano bancario con todas las funciones." ### ASO RAT: Otra Amenaza para Android Por separado, Breakglass Intelligence detalló un RAT para Android en idioma árabe llamado ASO RAT, distribuido a través de aplicaciones disfrazadas de lectores de PDF y aplicaciones del gobierno sirio. "La plataforma proporciona capacidades completas de compromiso del dispositivo: interceptación de SMS, acceso a la cámara, seguimiento GPS, registro de llamadas, exfiltración de archivos y lanzamiento de DDoS desde dispositivos de víctimas", dijo la compañía. "Un panel multiusuario con control de acceso basado en roles sugiere que esto opera como un RAT-as-a-Service o soporta un equipo multioperador." Los señuelos con temática siria (por ejemplo, SyriaDefenseMap y GovLens) sugieren que se apunta a personas interesadas en asuntos militares o de gobernanza sirios, potencialmente como parte de una operación de vigilancia.