Según el último Informe de Amenazas de HP, técnicas tradicionales como el living-off-the-land (LOTL) y el phishing están evolucionando para eludir las herramientas de seguridad basadas en la detección. Estas técnicas, que implican el uso de utilidades legítimas del propio sistema para ejecutar ataques, han sido parte del arsenal de los actores de amenazas durante años. Ahora, los investigadores de la compañía advierten que el uso de múltiples binarios poco comunes en una misma campaña dificulta aún más distinguir entre actividad maliciosa y legítima.
Datos de clientes de HP Wolf Security
El informe analiza ciberataques reales y ayuda a las organizaciones a mantenerse al día con las tácticas más recientes que los delincuentes utilizan para evadir la detección y comprometer equipos en un panorama delictivo en constante cambio. Basado en millones de endpoints protegidos por HP Wolf Security, las campañas destacadas incluyen:
- Falsa factura de Adobe Reader: una nueva ola de engaños de ingeniería social ultra elaborados. Los atacantes incrustaron un reverse shell (un script que otorga control remoto del dispositivo al atacante) dentro de una pequeña imagen SVG, disfrazada como un archivo de Adobe Acrobat Reader con una barra de carga falsa. Esta simulación aumentaba las probabilidades de que el archivo se abriera y activara la cadena de infección. Además, limitaron la descarga a regiones de habla alemana para reducir la exposición y dificultar el análisis automático.
- Malware oculto en imágenes pixeladas: se emplearon archivos de ayuda compilada HTML de Microsoft (CHM) para esconder código malicioso en los píxeles de imágenes, disfrazados como documentos de proyecto. Esto permitió entregar una carga útil de XWorm que se ejecutaba mediante una cadena de infección por etapas, con múltiples técnicas LOTL. También se usó PowerShell para ejecutar un archivo CMD que eliminaba evidencias tras la descarga y ejecución.
- Regreso de Lumma Stealer a través de archivos IMG: una de las familias de malware más activas del segundo trimestre, distribuida mediante archivos comprimidos IMG que empleaban técnicas LOTL para evadir filtros de seguridad. A pesar de una ofensiva policial en mayo de 2025, las campañas continuaron en junio, con el grupo registrando nuevos dominios y ampliando su infraestructura.
Alex Holland, Investigador Principal de Amenazas en HP Security Lab, ha comentado: “Los atacantes no están reinventando la rueda, pero sí están refinando sus técnicas. El living-off-the-land, los reverse shells y el phishing existen desde hace décadas, pero los ciberdelincuentes actuales los están perfeccionando. Vemos cada vez más herramientas LOTL encadenadas y tipos de archivo poco obvios, como imágenes, para evitar la detección. No se necesita un troyano completo cuando un simple script puede lograr el mismo efecto. Es simple, rápido y suele pasar desapercibido por su bajo perfil”.
Estas campañas muestran lo creativos y adaptables que se han vuelto los actores de amenazas. Al ocultar código en imágenes, abusar de herramientas confiables del sistema e incluso personalizar ataques por región, dificultan cada vez más la detección mediante herramientas tradicionales.
El informe, que abarca datos de abril a junio de 2025, detalla cómo los ciberdelincuentes siguen diversificando métodos de ataque para evadir herramientas basadas en detección, incluyendo:
- El 13 % de las amenazas por correo electrónico identificadas por HP Sure Click eludieron al menos un escáner de puerta de enlace.
- Los archivos comprimidos fueron el tipo de entrega más común (40%), seguidos por ejecutables y scripts (35%).
- Los archivos .rar representaron el 26% de los ataques, lo que sugiere que los atacantes explotan la confianza en software como WinRAR.
Ian Pratt, jefe global de Seguridad para Sistemas Personales en HP, ha añadido: “Las técnicas de living-off-the-land son notoriamente difíciles de detectar porque cuesta diferenciar entre actividad legítima y maliciosa. Es una elección difícil: restringir demasiado y entorpecer al usuario o dejar la puerta abierta y arriesgarse a que un atacante se infiltre. Incluso los mejores sistemas de detección fallan a veces; por eso, el enfoque de defensa en profundidad con contención e aislamiento es esencial para atrapar amenazas antes de que causen daño”.
