Durante años, la ciberseguridad ha seguido un modelo familiar: bloquear el malware, detener el ataque. Ahora, los atacantes pasan a lo que sigue.

Los actores de amenazas ahora usan malware con menos frecuencia en favor de lo que ya está dentro de su entorno, incluido el abuso de herramientas confiables, archivos binarios nativos y utilidades de administración legítimas para moverse lateralmente, escalar privilegios y persistir sin generar alarmas. La mayoría de las organizaciones no ven este riesgo hasta que el daño ya está hecho.

Para ayudar a visualizar este desafío, considere un complemento Evaluación de la superficie de ataque interno — una forma guiada y sencilla de ver dónde las herramientas confiables pueden estar funcionando en su contra.

Ahora, veamos cómo opera este riesgo dentro de su entorno y tres razones por las que los atacantes prefieren usar sus propias herramientas en su contra.

1. La mayoría de los ataques ya no parecen ataques

Los actores de amenazas prefieren ataques que no parezcan ataques.

Un análisis reciente de más de 700.000 incidentes de alta gravedad muestra una cambio claro: El 84% de los ataques ahora abusan de herramientas legítimas para evadir la detección. Ésta es la esencia de Vivir de la Tierra (LOTL).

En lugar de soltar cargas útiles que activan alertas, los atacantes utilizan herramientas integradas como PowerShell, WMIC y Certutil, las mismas herramientas en las que su equipo de TI confía todos los días. Estas acciones se mezclan con las operaciones normales, lo que hace extremadamente difícil distinguir entre uso legítimo e intención maliciosa.

El resultado es un peligroso punto ciego. Los equipos de seguridad ya no solo buscan «archivos malos». Están tratando de interpretar el comportamiento, a menudo en tiempo real, bajo presión y sin un contexto completo.

Y cuando algo parece claramente mal, el atacante ya está muy dentro del entorno.

2. Su superficie de ataque es mayor de lo que cree y, en su mayor parte, no está administrada

Los atacantes buscan herramientas no administradas que usted ya tenga.

Considere un sistema Windows 11 limpio.

Fuera de la caja, incluye cientos de binarios nativos – muchos de los cuales pueden ser objeto de abuso para ataques LOTL. Estas herramientas son confiables de forma predeterminada, están integradas en el sistema operativo y, a menudo, son necesarias para tareas legítimas o funcionalidad de aplicaciones.

Eso crea algunos desafíos fundamentales.

• No puedes simplemente bloquearlos sin interrumpir los flujos de trabajo.
• No es posible monitorearlos fácilmente sin generar ruido.
• En la mayoría de los casos, no sabes hasta qué punto son accesibles en toda tu organización.

Los análisis muestran que hasta el 95% del acceso a herramientas riesgosas es innecesario. Un factor es el acceso incontrolado a estas herramientas; otra es permitirles realizar todas las funciones de las que son capaces, incluidas funciones que rara vez utiliza la TI pero que los atacantes utilizan con frecuencia.

Cada permiso innecesario se convierte en una ruta de ataque potencial. Y cuando los atacantes no necesitan introducir nada nuevo, tus defensas ya están en desventaja.

3. La detección por sí sola no puede seguir el ritmo

La detección es tan fuerte que los atacantes buscan alternativas.

EDR y XDR son fundamentales y muy eficaces para detectar malware y amenazas que se destacan de la actividad normal. Sin embargo, la detección se está convirtiendo cada vez más en un ejercicio de interpretación a medida que los actores de amenazas abusan de herramientas legítimas para mezclarse. ¿Es legítimo ese comando de PowerShell? ¿Se espera la ejecución de ese proceso?

Ahora agregue velocidad.

Los ataques modernos, cada vez más asistidos por IA, se mueven más rápido de lo que los equipos pueden investigar. Cuando se confirma el comportamiento sospechoso, es posible que ya se haya establecido el movimiento lateral y la persistencia. Por eso ya no basta con confiar únicamente en la detección.

Lo que le falta a la mayoría de los equipos: visibilidad de la superficie de ataque interna

Si comprender el alcance de su superficie de ataque interna parece algo que debe investigar, tiene razón. Pero la mayoría de los equipos carecen del tiempo o los recursos para mapear los detalles.

• ¿A qué herramientas se puede acceder en toda la organización?
• ¿Dónde el acceso es excesivo o innecesario?
• ¿Cómo se traducen esos patrones de acceso en rutas de ataque reales?

Incluso cuando el riesgo se entiende conceptualmente, demostrarlo y priorizarlo es difícil. Por eso este problema persiste.

De reactivo a proactivo: comience con conocimiento

Cerrar esta brecha no comienza con agregar otra herramienta. Comienza con comprender su verdadero riesgo.

El Bitdefender Evaluación gratuita de la superficie de ataque interno le proporcionará una vista clara, basada en datos, de cuán expuesto está debido a sus herramientas confiables, para que pueda ver claramente el alcance de su superficie de ataque interna. Esta evaluación guiada se centra en identificar el acceso innecesario, descubrir riesgos reales y proporcionar recomendaciones priorizadas, sin interrumpir a sus usuarios ni agregarle gastos operativos.

Vea su entorno como lo hacen los atacantes

Los ataques LOTL se están convirtiendo en la opción predeterminada. Esto significa que el riesgo más importante es el que ya existe en su entorno, y cuanto antes comprenda cómo los atacantes pueden moverse a través de sus sistemas utilizando herramientas confiables, antes podrá reducir esas vías y evitar un ataque exitoso.

¿Qué es lo que realmente está frenando el Nivel 1: la amenaza misma o el proceso que la rodea? En muchos SOC, los mayores retrasos no se deben únicamente a la amenaza. Provienen de flujos de trabajo fragmentados, pasos de clasificación manual y visibilidad limitada al principio de la investigación. Corregir esas brechas en los procesos puede ayudar al Nivel 1 a avanzar más rápido, reducir escalaciones innecesarias y mejorar la forma en que todo el SOC responde bajo presión.

Aquí hay tres correcciones de procesos que pueden ayudar a desbloquear un rendimiento de Nivel 1 más sólido.

Proceso #1: Reemplazar el cambio de herramientas con un flujo de trabajo de investigación multiplataforma

El problema: El nivel 1 a menudo pierde tiempo moviéndose entre diferentes herramientas, interfaces y procesos para investigar actividades sospechosas en todos los sistemas operativos. Lo que comienza como una alerta puede convertirse rápidamente en un flujo de trabajo fragmentado.

Por qué perjudica la productividad: El cambio constante de herramientas ralentiza la clasificación, interrumpe el enfoque de la investigación y dificulta la creación de una imagen clara de lo que está sucediendo. También aumenta la posibilidad de perder el contexto, especialmente cuando la actividad sospechosa involucra más de un entorno o no encaja perfectamente en un proceso de Windows.

La solución: Reemplace los pasos de investigación fragmentados con un flujo de trabajo unificado para el análisis de URL y archivos sospechosos en todos los sistemas operativos. En lugar de enviar al Nivel 1 a través de herramientas y procesos separados para cada entorno, bríndeles un lugar para observar el comportamiento, recopilar evidencia y tomar decisiones. Esto reduce la fricción en la clasificación diaria y mantiene las investigaciones consistentes en Windows, macOS, Linux y Android.

Sandbox de ANY.RUN que admite 4 sistemas operativos principales

Esto es aún más importante a medida que macOS se convierte en una parte cada vez más importante de los entornos empresariales y los atacantes continúan expandiéndose más allá de las campañas tradicionales centradas en Windows. Los equipos de seguridad necesitan la capacidad de investigar amenazas relacionadas con macOS sin interrumpir su flujo de trabajo. Con ANY.RUN sandbox, Tier 1 puede analizar la actividad en macOS, Windows, Linux y Android en un solo lugar, reduciendo los puntos ciegos y acelerando las decisiones en las primeras etapas.

Consulte el ejemplo del mundo real: Miolab Stealer analizado en entorno macOS

Ladrón de Miolab analizado dentro del sandbox de ANY.RUN

Esta sesión de Miolab Stealer muestra por qué la visibilidad multiplataforma es importante en la clasificación moderna. La muestra imita un mensaje de autenticación legítimo de macOS, roba la contraseña del usuario, recopila archivos de directorios clave y envía los datos a un servidor remoto. Dentro del sandbox de ANY.RUN, este comportamiento se vuelve visible desde el principio, lo que ayuda al equipo a comprender rápidamente la amenaza y responder con más confianza.

Qué ayuda a lograr un flujo de trabajo unificado:

• Menor fricción en la investigación en el Nivel 1, con menos tiempo perdido en herramientas desconectadas
• Calidad de triaje más consistente en Windows, macOS, Linux y Android
• Riesgo reducido de pérdida de contexto cuando las amenazas abarcan múltiples sistemas operativos
• Decisiones de respuesta más rápidas y un camino más fluido desde la clasificación hasta la escalada

Proceso #2: Cambiar el Nivel 1 a una clasificación que priorice el comportamiento con automatización e interactividad

El problema: El nivel 1 suele dedicar demasiado tiempo a revisar alertas, indicadores estáticos y contexto disperso antes de comprender si un archivo o URL sospechoso es realmente malicioso.

Por qué perjudica la productividad: Los datos estáticos pueden sugerir que algo parece sospechoso, pero no siempre muestran lo que realmente hace el objeto durante la ejecución. Además de eso, muchas amenazas modernas no revelan su comportamiento completo sin acciones del usuario, como abrir un archivo, hacer clic en una página o completar parte de una cadena de interacción. Esto crea retrasos, agrega trabajo manual y aumenta las escaladas innecesarias.

La solución: Cambie el proceso de una revisión de alerta primero a una clasificación de comportamiento primero respaldada por la automatización y la interactividad. En lugar de depender principalmente de hashes, dominios o metadatos, deje que el Nivel 1 comience con una ejecución real en un entorno seguro. Esto es especialmente poderoso cuando la parte interactiva del análisis también se puede automatizar.

La interactividad automatizada de ANY.RUN abre el enlace malicioso oculto bajo un código QR sin ningún esfuerzo manual

En lugar de dedicar tiempo de analista a códigos QR, comprobaciones de CAPTCHA y otros pasos diseñados para retrasar o evadir la detección, el flujo de trabajo puede avanzar por sí solo hasta que aparezca un comportamiento significativo. Con ANY.RUN, los equipos pueden descubrir cadenas complejas de phishing y malware más rápido, reducir el esfuerzo manual durante la clasificación y tomar decisiones de escalamiento más claras antes. De hecho, en el 90% de los casos, el comportamiento necesario para validar una amenaza se vuelve visible dentro de los primeros 60 segundos de la detonación.

Se requiere menos de un minuto para analizar la cadena de ataque completa dentro del sandbox de ANY.RUN

Qué ayuda a lograr la clasificación de comportamiento primero con interactividad automatizada:

• Mejor uso de la capacidad de Nivel 1, con menos tiempo perdido en acciones manuales repetitivas
• Validación de amenazas más rápida antes de que la actividad sospechosa se convierta en una investigación más larga
• Menos escaladas causado por evidencia poco clara en las primeras etapas
• Mayor velocidad de respuesta SOC a través de una confirmación anterior basada en el comportamiento de intenciones maliciosas

Proceso #3: Estandarizar la escalada con evidencia lista para responder

El problema: Demasiadas investigaciones llegan a una escalada sin pruebas claras suficientes. El nivel 1 puede saber que algo parece sospechoso, pero el siguiente equipo todavía tiene que dedicar tiempo a reconstruir el contexto, volver a verificar el comportamiento y descubrir qué es lo que realmente importa.

Por qué perjudica la productividad: Cuando las escaladas son inconsistentes o incompletas, el SOC pierde tiempo en múltiples niveles. Los equipos de nivel 2 y de respuesta a incidentes tienen que repetir el trabajo, los casos urgentes tardan más en validarse y el liderazgo tiene menos confianza en la rapidez con la que el equipo puede pasar de la clasificación a la acción.

La solución: Estandarice la escalada en torno a evidencia lista para responder en lugar de suposiciones o notas parciales. Con ANY.RUN sandbox, el Nivel 1 puede escalar con un informe listo para manejar en lugar de reconstruir manualmente los hallazgos. Genera automáticamente un informe de análisis estructurado con evidencia de comportamiento, actividad del proceso, detalles de la red, capturas de pantalla y otro contexto recopilado durante la detonación.

Informe generado automáticamente para eficiencia y ahorro de tiempo.

Como resultado, el Nivel 2 recibe una visión más clara de la cadena de ataque desde el principio, lo que reduce el trabajo repetido y ayuda a pasar de la clasificación a la respuesta con menos demora.

Qué ayuda a lograr la escalada lista para la respuesta:

• Carga de documentación reducida en el Nivel 1 durante la escalada
• Traspaso más rápido al Nivel 2 con una imagen más clara de la cadena de ataque
• Investigación menos repetida trabajar en todas las funciones SOC
• Decisiones de respuesta más consistentes basado en evidencia conductual completa

Cómo estas correcciones de procesos mejoran el rendimiento del SOC

Cuando los equipos del SOC solucionan las brechas en los procesos que ralentizan el Nivel 1, el impacto va mucho más allá de una clasificación más rápida. Reducen la carga de trabajo manual, mejoran la calidad de la escalada y brindan a todo el equipo un camino más claro desde la validación inicial hasta la respuesta.

En la práctica, las organizaciones que utilizan ANY.RUN informan ganancias mensurables tanto en las operaciones diarias como en el rendimiento SOC más amplio.

• Arriba a Carga de trabajo de Nivel 1 un 20% menor a través de una validación más rápida y menos trabajo de clasificación manual
• Alrededor 30% menos escalamientos de Nivel 1 a Nivel 2ayudando a los miembros superiores del equipo a mantenerse enfocados en amenazas de mayor prioridad
• El 94% de los usuarios reportan una clasificación más rápida en flujos de trabajo SOC reales
• Arriba a Eficiencia/rendimiento de SOC 3 veces más fuerteimpulsado por una validación más rápida y flujos de trabajo más fluidos
• Reduzca los costos de infraestructura reemplazando las configuraciones de análisis con mucho hardware por un entorno basado en la nube
• un promedio Reducción de 21 minutos en MTTR por casoapoyando una contención y respuesta más rápidas
• Menos fatiga de alerta y decisiones más tempranas basadas en evidencia a través de un acceso más rápido al comportamiento y contexto de las amenazas.

Fortalecer el desempeño de Nivel 1 y brinde a su SOC un camino más rápido desde la clasificación hasta la respuesta con ANY.RUN.

Tres grupos de actividades de amenazas alineados con China han apuntado a una organización gubernamental en el sudeste asiático como parte de lo que se ha descrito como una «operación compleja y con buenos recursos».

Las campañas han llevado a la implementación de varias familias de malware, incluidas HIUPAN (también conocido como USBFect, MISTCLOAK o U2DiskWatch), PUBLOAD, EggStremeFuel (también conocido como RawCookie), EggStremeLoader (también conocido como Gorem RAT), MASOL RAT, PoshRATTrackBak Stealer, RawCookie, Hypnosis Loader y FluffyGh0st.

El actividad se ha atribuido a los siguientes grupos:

• Junio ​​- agosto de 2025: Mustang Panda (también conocido como Stately Taurus).
• Marzo – septiembre de 2025: CL-STA-1048, que se superpone con grupos documentados públicamente bajo los apodos Earth Estries y Crimson Palace.
• Abril y agosto de 2025: CL-STA-1049, que se superpone con un grupo documentado públicamente conocido como Unfading Sea Haze.

Cronograma de actividades

«Estos grupos de actividades se superponen con campañas informadas públicamente destinadas a establecer un acceso persistente», dijeron los investigadores de la Unidad 42 de Palo Alto Networks, Doel Santos y Hiroaki Hara. dicho. «La superposición significativa de tácticas, técnicas y procedimientos (TTP) con campañas conocidas alineadas con China sugiere que los grupos y el grupo de amenaza tienen un objetivo de interés común, coordinando potencialmente sus esfuerzos».

Cadena de infección de CL-STA-1048 26m

La actividad de Mustang Panda, registrada entre el 1 de junio y el 15 de agosto de 2025, implicó el uso de un malware basado en USB conocido como HIUPAN para entregar la puerta trasera PUBLOAD mediante una DLL maliciosa con nombre en código Claimloader. El primer uso registrado de las fechas de Claimloader por parte del actor de amenazas volver a finales de 2022 en ataques contra organizaciones gubernamentales en Filipinas.

Un análisis adicional de la red de víctimas ha descubierto la implementación de COOLCLIENT, otra puerta trasera conocida atribuida a Mustang Panda durante más de tres años. Admite descarga/carga de archivos, grabación de pulsaciones de teclas, tunelización de paquetes y captura de información de mapas de puertos.

Las herramientas utilizadas por CL-STA-1048 varían ya que son ruidosas.

• EggStremeFuel, una puerta trasera liviana que está equipada para descargar/cargar archivos, enumerar archivos y directorios, iniciar o finalizar un shell inverso, enviar la dirección IP global actual y actualizar la configuración C2.
• EggStremeLoader, otro componente del marco de malware EggStreme lanzado por EggStremeFuel. Admite 59 comandos de puerta trasera para respaldar un robo de datos extenso. Esto incluye una variante que facilita la descarga/carga de archivos a través de Dropbox.
• MASOL RAT (también conocido como Backdr-NQ), un troyano de acceso remoto con funciones de descarga/carga de archivos y ejecución de comandos arbitrarios.
• TrackBak, un ladrón de información que recopila registros, datos del portapapeles, información de red y archivos de las unidades.

La actividad vinculada a CL-STA-1049, por otro lado, implica el uso de un novedoso cargador de DLL llamado Hypnosis Loader, que se inicia mediante carga lateral de DLL, para finalmente instalar FluffyGh0st RAT. El vector de acceso inicial exacto utilizado por CL-STA-1048 y CL-STA-1049 aún no está claro.

«La convergencia de estos grupos de actividades, todos los cuales muestran vínculos con actores conocidos alineados con China, apunta a un esfuerzo coordinado para lograr un objetivo estratégico común», dijo la Unidad 42. «La metodología de los atacantes indica que pretendían obtener acceso persistente y a largo plazo a redes gubernamentales sensibles, no sólo causar interrupciones».