Los atacantes evolucionan las técnicas de living-off-the-land y phishing en sus campañas

HP ha publicado su más reciente Informe de Amenazas, que revela cómo técnicas tradicionales como el living-off-the-land (LOTL) y el phishing están evolucionando para eludir las herramientas de seguridad basadas en la detección. Estas técnicas, que implican el uso de utilidades legítimas del propio sistema para ejecutar ataques, han sido parte del arsenal de los actores de amenazas durante años. Sin embargo, ahora, el uso de múltiples binarios poco comunes en una misma campaña dificulta aún más distinguir entre actividad maliciosa y legítima.

El informe analiza ciberataques reales, entre ellos una nueva ola de engaños de ingeniería social ultra elaborados empleando una falsa factura de Adobe Reader. Los atacantes incrustaron un reverse shell (un script que otorga control remoto del dispositivo al atacante) dentro de una pequeña imagen SVG, disfrazada como un archivo de Adobe Acrobat Reader con una barra de carga falsa. Esta simulación aumentaba las probabilidades de que el archivo se abriera y activara la cadena de infección. Además, limitaron la descarga a regiones de habla alemana para reducir la exposición y dificultar el análisis automático.

También se emplearon archivos de ayuda compilada HTML de Microsoft (CHM) para esconder código malicioso en los píxeles de imágenes, disfrazados como documentos de proyecto. Esto permitió entregar una carga útil de XWorm que se ejecutaba mediante una cadena de infección por etapas, con múltiples técnicas LOTL. Asimismo, se usó PowerShell para ejecutar un archivo CMD que eliminaba evidencias tras la descarga y ejecución.

Por otra parte, Lumma Stealer ha sido una de las familias de malware más activas del segundo trimestre, distribuida mediante archivos comprimidos IMG que empleaban técnicas LOTL para evadir filtros de seguridad. A pesar de una ofensiva policial en mayo de 2025, las campañas continuaron en junio, con el grupo registrando nuevos dominios y ampliando su infraestructura.

Estas campañas muestran lo creativos y adaptables que se han vuelto los actores de amenazas. Al ocultar código en imágenes, abusar de herramientas confiables del sistema e incluso personalizar ataques por región, dificultan cada vez más la detección mediante herramientas tradicionales.

Según Alex Holland, investigador principal de Amenazas en HP Security Lab, “los atacantes no están reinventando la rueda, pero sí están refinando sus técnicas. El living-off-the-land, los reverse shells y el phishing existen desde hace décadas, pero los ciberdelincuentes actuales los están perfeccionando. Vemos cada vez más herramientas LOTL encadenadas y tipos de archivo poco obvios, como imágenes, para evitar la detección. No se necesita un troyano completo cuando un simple script puede lograr el mismo efecto. Es simple, rápido y suele pasar desapercibido por su bajo perfil”.