Los ciberdelincuentes están recurriendo cada vez más a técnicas living-off-the-land (LOTL) y al uso de tipos de archivos poco comunes para evadir las herramientas de detección, según el Informe de Amenazas del Q2 2025 de HP Wolf Security. Los equipos de seguridad enfrentan campañas que combinan múltiples binarios legítimos, a menudo poco conocidos, y métodos creativos de entrega de malware, haciendo que la actividad maliciosa se vea inocua y aumentando la dificultad para detectarla y responder a tiempo.

Encadenando herramientas legítimas para ataques sigilosos

En lugar de desplegar un troyano de acceso remoto (RAT) de forma directa, los atacantes están utilizando scripts ligeros y utilidades nativas de Windows en secuencia para lograr el mismo efecto de forma más discreta. Estas cadenas de ejecución pasan por binarios confiables del sistema, reflejan cargas maliciosas en memoria y ejecutan el malware dentro de procesos legítimos, evitando muchas defensas basadas en firmas. HP Security destaca que este enfoque es rápido, simple y eficaz porque parece completamente normal.

Esteganografía en imágenes y abuso de MSBuild: el ejemplo de XWorm

Un caso documentado por HP mostró cómo los atacantes ocultaron un RAT final dentro de los píxeles de una imagen descargada desde un sitio confiable. La campaña comenzó con archivos maliciosos CHM (Compiled HTML Help) enviados como adjuntos de correo electrónico, que ejecutaban scripts para copiar y ejecutar binarios nativos, colocar scripts intermedios en carpetas públicas y usar PowerShell para continuar la infección. La imagen contenía datos ocultos que se cargaban en memoria, se decodificaban y ejecutaban a través de MSBuild, permitiendo que el malware XWorm se ejecutara dentro de un proceso legítimo y evadiera múltiples controles de seguridad.

SVGs y PDFs falsos: nuevos señuelos que imitan aplicaciones reales

El informe de HP también señala el uso creciente de archivos SVG para entregar malware. Los SVGs son archivos basados en XML que se abren en navegadores por defecto y pueden imitar interfaces de aplicaciones legítimas, como Adobe Acrobat Reader, incluyendo animaciones de carga y barras de progreso falsas. Al interactuar con estos archivos, los usuarios activan descargas de archivos ZIP que contienen scripts JavaScript ofuscados, otorgando a los atacantes control básico sobre el sistema infectado. Además, los atacantes aplican geofencing, limitando la descarga a ciertas regiones para evadir análisis automatizados y retrasar la detección.

Infostealers activos a pesar de los bloqueos: resiliencia de Lumma

Los infostealers como Lumma fueron de los más activos durante el segundo trimestre de 2025. Aunque en mayo se realizaron operaciones de bloqueo de su infraestructura, las campañas continuaron en junio mientras los operadores reconstruían o ajustaban sus servidores. Este caso demuestra que incluso después de un derribo, los atacantes pueden retomar sus operaciones rápidamente, adoptando técnicas LOTL más sigilosas para evitar futuras interrupciones.

Recomendaciones para detección y prevención

Dadas las características de estas campañas LOTL, se recomienda a las organizaciones:

• Monitorizar la línea de procesos y comandos: para detectar cadenas inusuales de herramientas nativas (por ejemplo, MSBuild ejecutando PowerShell que decodifica cargas en memoria).
• Restringir el uso de utilidades del sistema poco comunes: establecer una línea base de uso normal y generar alertas ante desviaciones.
• Tratar archivos de imagen y vectores con precaución: bloquear o ejecutar en sandbox SVGs y archivos de imagen de sitios desconocidos o sospechosos.
• Fortalecer controles de correo y web: prevenir adjuntos maliciosos CHM/HTA y detectar descargas de dominios confiables que contengan cargas maliciosas.
• Prepararse para la persistencia tras bloqueos: mantener telemetría activa para detectar campañas resurgentes y poder actuar rápidamente.

Conclusión
Los atacantes están aprovechando funciones legítimas del sistema y formatos de archivo no tradicionales para mantenerse invisibles. Para defenderse de estas técnicas LOTL, los equipos de seguridad deben combinar observabilidad robusta, detección basada en procesos y endurecimiento proactivo, tratando cualquier cadena inusual de herramientas confiables como un posible compromiso.

Fuente: https://www.infosecurity-magazine.com/news/attackers-novel-lotl-detection