La campaña STAC3725 utiliza indebidamente FTK Imager para eludir los sistemas de defensa, poniendo de manifiesto una técnica sigilosa que adapta las herramientas forenses para garantizar una persistencia discreta en las operaciones previas al ransomware, convirtiendo una vez más en un arma un software de investigación legítimo.

SplitDrop revela cómo el grupo Dust Specter, presuntamente vinculado a Irán, hizo uso indebido de la carga lateral de DLL para acelerar la ejecución y eludir los controles de seguridad, manteniendo así la persistencia y permitiendo una cadena de infección sigilosa que se camuflaba entre el comportamiento de las aplicaciones legítimas.

A principios de 2026, los actores de amenazas explotaron vulnerabilidades en SolarWinds Web Help Desk, incluyendo CVE-2025-40551 y CVE-2025-40536, para obtener acceso inicial y escalar privilegios en servidores vulnerables. Los atacantes luego aprovecharon la herramienta de Windows print.exe para extraer información sensible y exfiltrarla.

El grupo de ransomware Rhysida aprovecha la publicidad maliciosa en motores de búsqueda y los instaladores falsos con firma de código para distribuir OysterLoader, una puerta trasera C++ de múltiples etapas. Utiliza técnicas avanzadas de evasión para establecer su persistencia, entregando cargas útiles de alto impacto, como ransomware o infostealers, a las empresas.

Una sofisticada campaña de phishing ataca los sectores manufacturero y gubernamental en Italia, Finlandia y Arabia Saudita mediante un cargador TaskScheduler troyanizado. Abusa de RegAsm.exe a través del proceso hollowing para distribuir PureLog Stealer, que ejecuta tráfico de red saliente anómalo desde esta utilidad .NET, informa de la inyección de código y la evasión living-off-the-land.

Matanbuchus 3.0 es un cargador de malware como servicio basado en C++ que representa un importante paso evolutivo con respecto a las ramas anteriores de Matanbuchus. Observado por primera vez como un cargador comercial alrededor de 2020-2021, Matanbuchus se centró originalmente en la descarga de implantes de segunda fase, como QakBot y varios ladrones, pero la versión 3.0 refuerza esta función con una refactorización a nivel de protocolo, una criptografía más sólida y una semántica de ejecución ampliada, adaptada a entornos empresariales de alta fricción y con un uso intensivo de EDR.

El grupo Fancy Bear (también conocido como APT28), vinculado a Rusia, ha lanzado NotDoor, una campaña de espionaje de alto riesgo dirigida a los países miembros de la OTAN. Mediante la carga lateral a través de la aplicación de confianza OneDrive, reconfiguran silenciosamente los registros de Windows, desactivando las alertas de seguridad y forzando la ejecución automática de macros maliciosas, convirtiendo Outlook en un canal encubierto de comando y control (C2) para los atacantes.

En la arquitectura de seguridad moderna de Windows, el Control de cuentas de usuario (UAC) sirve como una capa defensiva clave contra la escalada de privilegios no autorizada. Su objetivo principal es limitar el impacto de la ejecución de código malicioso al exigir el consentimiento del usuario antes de permitir acciones administrativas. Entre las numerosas técnicas de elusión del UAC documentadas a lo largo de los años, uno de los métodos más destacados es el que utiliza la interfaz COM ICMLuaUtil. Este método volvió a llamar la atención cuando se observó en campañas atribuidas al grupo Silver Fox Advanced Persistent Threat (APT), un actor conocido por sus sofisticadas técnicas y su enfoque en la persistencia con una detección mínima.

En una reciente campaña de malware Latrodectus, observamos una estrategia particularmente insidiosa para lograr la persistencia, que consistía en modificar las claves del registro de Windows para ejecutar un archivo ejecutable legítimo y firmado, imitando el software de seguridad y ocultando la carga lateral de DLL maliciosas, lo que permitía una ejecución sigilosa. Estos cambios en el registro pueden restar prioridad o complicar la detección por parte de los equipos de seguridad, por lo que es necesario prestar especial atención a actividades similares y reconocer los indicadores de esta campaña.

En el ámbito de la ciberseguridad, una gestión sólida de los parches es esencial para fortalecer las redes empresariales frente a las amenazas en constante evolución, especialmente en entornos dominados por Active Directory, donde los sistemas sin parches sirven como puntos de entrada principales para los atacantes. Windows Server Update Services (WSUS), una función básica del servidor de Microsoft, es un ejemplo de ello, ya que permite la implementación centralizada de actualizaciones, pero su reciente exposición a través de CVE-2025-59287 pone de relieve la fragilidad de la infraestructura de actualizaciones.