El grupo Fancy Bear (también conocido como APT28), vinculado a Rusia, ha lanzado NotDoor, una campaña de espionaje de alto riesgo dirigida a los países miembros de la OTAN. Mediante la carga lateral a través de la aplicación de confianza OneDrive, reconfiguran silenciosamente los registros de Windows, desactivando las alertas de seguridad y forzando la ejecución automática de macros maliciosas, convirtiendo Outlook en un canal encubierto de comando y control (C2) para los atacantes.

En la arquitectura de seguridad moderna de Windows, el Control de cuentas de usuario (UAC) sirve como una capa defensiva clave contra la escalada de privilegios no autorizada. Su objetivo principal es limitar el impacto de la ejecución de código malicioso al exigir el consentimiento del usuario antes de permitir acciones administrativas. Entre las numerosas técnicas de elusión del UAC documentadas a lo largo de los años, uno de los métodos más destacados es el que utiliza la interfaz COM ICMLuaUtil. Este método volvió a llamar la atención cuando se observó en campañas atribuidas al grupo Silver Fox Advanced Persistent Threat (APT), un actor conocido por sus sofisticadas técnicas y su enfoque en la persistencia con una detección mínima.

En una reciente campaña de malware Latrodectus, observamos una estrategia particularmente insidiosa para lograr la persistencia, que consistía en modificar las claves del registro de Windows para ejecutar un archivo ejecutable legítimo y firmado, imitando el software de seguridad y ocultando la carga lateral de DLL maliciosas, lo que permitía una ejecución sigilosa. Estos cambios en el registro pueden restar prioridad o complicar la detección por parte de los equipos de seguridad, por lo que es necesario prestar especial atención a actividades similares y reconocer los indicadores de esta campaña.

Estamos siendo testigos de una importante evolución en las tácticas de los adversarios: los actores maliciosos están aprovechando activamente herramientas legítimas y de código abierto para la respuesta a incidentes, como Velociraptor, con fines maliciosos, adoptando de manera efectiva un «patrón de uso indebido» en lugar de depender únicamente de malware personalizado. Esta táctica en evolución pone de relieve la necesidad de estar alerta en la supervisión y detección del uso no autorizado de Velociraptor para interceptar y mitigar eficazmente el uso indebido antes de que dé lugar a un mayor compromiso o al despliegue de ransomware.

WinRAR es una de las herramientas de compresión de archivos más populares a nivel mundial, conocida por su capacidad para comprimir, empaquetar e intercambiar archivos de manera eficiente. En 2025, se descubrió una vulnerabilidad de seguridad crítica denominada CVE-2025-8088 en la versión para Windows de WinRAR. Los grupos criminales comenzaron a abusar de ella, en particular RemCom (también llamado Tropical Scorpion) actualizó sus TTPs armando la falla de WinRAR para archivar el acceso inicial y la persistencia en el host comprometido.