Los ciberdelincuentes están perfeccionando sus métodos para infiltrarse en las organizaciones utilizando herramientas legítimas de Windows, formatos de archivo poco habituales y señuelos cada vez más realistas. Así lo revela el HP Wolf Security Threat Insights Report (septiembre de 2025), que analiza las principales campañas de malware detectadas en el segundo trimestre del año.
El 40 % de las amenazas en Q2 llegaron ocultas en archivos comprimidos
Uno de los hallazgos más preocupantes es el uso de técnicas living-off-the-land (LOTL), que aprovechan binarios nativos de Windows para ejecutar acciones maliciosas sin introducir ficheros externos. En una campaña dirigida a empresas, los atacantes combinaron varias de estas herramientas para desplegar el troyano XWorm. La carga final se ocultaba en los píxeles de una imagen descargada de un sitio legítimo y se ejecutaba a través de MSBuild.
El informe también destaca el uso de archivos de ayuda compilados de Windows (.chm), enviados como supuesta documentación empresarial. Al abrirse con la utilidad hh.exe, estos ficheros activaban scripts que iniciaban una infección en varias fases. Explican los investigadores en el estudio que, en estas campañas, los archivos de ayuda no contenían manuales reales, sino código diseñado para iniciar una infección en varias fases, utilizando utilidades de Windows como extrac32.exe o cscript.exe para evadir la detección.
Phishing con facturas en SVG y PDFs manipulados
La ingeniería social sigue siendo clave. En Q2 se detectaron campañas dirigidas a usuarios de habla alemana que empleaban ficheros SVG manipulados para imitar facturas en PDF. Estas animaciones simulaban interfaces de Adobe Acrobat con barras de carga y botones de descarga que llevaban a un ZIP infectado. El archivo contenía un reverse shell en JavaScript que daba a los atacantes control remoto sobre el sistema.
El formato PDF, sin embargo, sigue siendo uno de los más explotados. En una campaña, se usaron facturas falsas que descargaban un script ofuscado en Visual Basic. El malware final, conocido como MassLogger, almacenaba su código en múltiples claves del Registro de Windows y era capaz de robar credenciales, registrar pulsaciones de teclado y extraer datos de navegadores. Además, en sistemas configurados en francés, desplegaba un segundo troyano: ModiRAT.
Lumma Stealer y Remcos, viejos conocidos que resisten
Otro de los protagonistas del trimestre es Lumma Stealer, distribuido a través de archivos IMG que Windows monta automáticamente como discos virtuales. Aunque las autoridades internacionales desmantelaron su infraestructura en mayo, las campañas continuaron en junio.
También se observaron campañas para instalar Remcos RAT mediante correos con ficheros HTML y accesos directos (LNK) disfrazados de PDF. En este caso, la carga final se ocultaba en un archivo PIF, un formato en desuso que los atacantes aprovecharon como camuflaje.
Archivos comprimidos, la vía favorita de los atacantes
El informe confirma que los archivos comprimidos han recuperado el liderazgo como principal vector de infección: representaron el 40 % de las amenazas detectadas, frente al 35% de ejecutables y scripts. Los documentos de Word concentraron un 9 % de las infecciones, los PDFs un 8 % y las hojas de cálculo un 4 %. En cuanto a canales, el correo electrónico sigue siendo la puerta de entrada más utilizada (61 %), seguido de las descargas desde el navegador (23 %). Lo preocupante es que un 13 % de los correos maliciosos consiguió superar los filtros de seguridad de las pasarelas.
