Con una sola imagen pueden controlar por completo tu sistema: hackers explotan utilidades estándar de Windows
Resulta que cuanto más simple es un archivo, más complejo resulta el ataque.
En el segundo trimestre de 2025, los especialistas de HP Wolf Security registraron toda una serie de ataques sofisticados en los que los atacantes emplearon la táctica poco habitual living-off-the-land (LOTL) para eludir la detección. Se utilizaron varias utilidades del sistema poco conocidas, y los componentes maliciosos finales se ocultaron en formatos discretos, como imágenes o archivos SVG. Todo ello dificulta notablemente la detección de la actividad maliciosa y permite a los atacantes permanecer sin ser detectados.
En uno de los incidentes, los investigadores describieron cómo, mediante toda una cadena de utilidades de Windows, se entregó XWorm —un troyano de acceso remoto (RAT) con funciones de robo de datos. El vector inicial fueron adjuntos en correos con extensión CHM, camuflados como documentación. En su interior había un script que iniciaba una infección multinivel.
En la cadena se incluyó un archivo binario que permite copiar cscript.exe a un directorio de acceso público. A continuación, en ese mismo directorio se colocó un VBScript que se ejecutó a través de PowerShell. Después, mediante PowerShell se descargó un JavaScript en ProgramData y se ejecutó con el intérprete integrado de Windows. La pieza clave fue la descarga de una imagen desde el dominio Tagbox, un servicio legítimo de gestión de activos digitales. En la imagen estaba cifrada la carga útil, que se decodificó en un objeto Bitmap y finalmente se ejecutó mediante MSBuild. De ese modo, el troyano final entró en el sistema sorteando la mayoría de los filtros.
La atención de los especialistas también se centró en campañas que empleaban archivos SVG. Estos objetos se abren en el navegador y, en esencia, se comportan como páginas HTML, lo que permite incrustar JavaScript o cargar recursos externos. En varios ataques a la víctima se le mostraba una copia de alta calidad de la página de Acrobat Reader con una animación de carga del documento. Tras simular la «carga», se ofrecía descargar un archivo comprimido que supuestamente contenía el documento. En realidad se hacía una petición a un servidor externo que devolvía un ZIP con JavaScript cifrado. Este método proporcionaba el acceso inicial y, mediante geofencing, las descargas se limitaban a determinadas regiones, lo que dificultaba el trabajo de los analistas y retrasaba la detección.
Por separado, los especialistas destacaron la actividad de Lumma Stealer. A pesar de que la infraestructura de esta familia fue parcialmente desmantelada en mayo de 2025, en junio se registraron nuevos envíos masivos. En ellos el código malicioso se ocultaba en imágenes IMG adjuntas a correos de phishing. Dentro de la imagen había un archivo HTA, camuflado como una factura. Su contenido estaba oculto tras largos bloques de espacios para dificultar un análisis superficial. Al abrirlo, el HTA ejecutaba un comando de PowerShell que descargaba un instalador NSIS. Este último creaba entradas ficticias en el registro y hacía referencia a archivos inexistentes para confundir a los analistas. Después se ejecutaba otra orden de PowerShell que extraía y ejecutaba un archivo desde AppData. Tras varias etapas de descompresión se activaba Lumma Stealer, capaz de robar credenciales y otra información valiosa.
Así, en el segundo trimestre de 2025, cobraron protagonismo ataques que combinan utilidades de Windows poco conocidas, formatos de archivo atípicos y esquemas de descarga multinivel. Los especialistas señalan que estas técnicas evolucionan con rapidez y que los atacantes utilizan incluso familias de malware cuya infraestructura fue recientemente sometida a limpieza.