Las técnicas tradicionales de amenazas como el living-off-the-land (LOTL) y el phishing están evolucionando para eludir las herramientas de seguridad basadas en la detección.
Estas técnicas, que implican el uso de utilidades legítimas del propio sistema para ejecutar ataques, han sido parte del arsenal de los actores de amenazas durante años.
Ahora, los investigadores de HP advierten que el uso de múltiples binarios poco comunes en una misma campaña dificulta aún más distinguir entre actividad maliciosa y legítima.
Amenazas como el living-off-the-land implican el uso de utilidades legítimas del propio sistema para ejecutar ataques
El informe elaborado por HP analiza ciberataques reales y las tácticas más recientes que los delincuentes utilizan para evadir la detección y comprometer equipos.
Basado en millones de endpoints protegidos por HP Wolf Security, las campañas destacadas incluyen:
- Falsa factura de Adobe Reader: Los atacantes incrustaron un reverse shell (un script que otorga control remoto del dispositivo al atacante) dentro de una pequeña imagen SVG, disfrazada como un archivo de Adobe Acrobat Reader con una barra de carga falsa. Esta simulación aumentaba las probabilidades de que el archivo se abriera y activara la cadena de infección.
- Malware oculto en imágenes pixeladas: Se emplearon archivos de ayuda compilada HTML de Microsoft (CHM) para esconder código malicioso en los píxeles de imágenes, disfrazados como documentos de proyecto.
- Regreso de Lumma Stealer a través de archivos IMG: Una de las familias de malware más activas del segundo trimestre, distribuida mediante archivos comprimidos IMG que empleaban técnicas LOTL para evadir filtros de seguridad.
Alex Holland, Investigador Principal de Amenazas en HP Security Lab, ha comentado: “El living-off-the-land, los reverse shells y el phishing existen desde hace décadas, pero los ciberdelincuentes actuales los están perfeccionando».
El representante de HP también indicaba que «vemos cada vez más herramientas LOTL encadenadas y tipos de archivo poco obvios, como imágenes, para evitar la detección; no se necesita un troyano completo cuando un simple script puede lograr el mismo efecto”.
Estas campañas muestran lo creativos y adaptables que se han vuelto los actores de amenazas. Al ocultar código en imágenes, abusar de herramientas confiables del sistema e incluso personalizar ataques por región, dificultan cada vez más la detección mediante herramientas tradicionales.
El informe, que abarca datos de abril a junio de 2025, detalla cómo los ciberdelincuentes siguen diversificando métodos de ataque para evadir herramientas basadas en detección:
- El 13% de las amenazas por correo electrónico identificadas por HP Sure Click eludieron al menos un escáner de puerta de enlace.
- Los archivos comprimidos fueron el tipo de entrega más común (40%), seguidos por ejecutables y scripts (35%).
- Los archivos .rar representaron el 26% de los ataques, lo que sugiere que los atacantes explotan la confianza en software como WinRAR.
Ian Pratt, jefe global de Seguridad para Sistemas Personales en HP, ha añadido: “Las técnicas de living-off-the-land son notoriamente difíciles de detectar porque cuesta diferenciar entre actividad legítima y maliciosa. Es una elección difícil: restringir demasiado y entorpecer al usuario o dejar la puerta abierta y arriesgarse a que un atacante se infiltre».
