Microsoft está llamando la atención sobre una nueva campaña de phishing dirigida principalmente a organizaciones con sede en EE. UU. Que probablemente ha utilizado el código generado utilizando modelos de idiomas grandes (LLM) para ofuscar las cargas útiles y evadir las defensas de seguridad.
«Al parecer ser ayudado por un modelo de lenguaje grande (LLM), la actividad ofuscó su comportamiento dentro de un archivo SVG, aprovechando la terminología comercial y una estructura sintética para disfrazar su intención maliciosa», el equipo de inteligencia de amenazas de Microsoft dicho En un análisis publicado la semana pasada.
La actividad, detectada el 28 de agosto de 2025, muestra cómo los actores de amenaza adoptan cada vez más herramientas de inteligencia artificial (IA) en sus flujos de trabajo, a menudo con el objetivo de elaborar señuelos de phishing más convincentes, automatizar la ofuscación de malware y generar código que imita el contenido legítimo.
En la cadena de ataque documentada por el fabricante de Windows, se ha observado que los malos actores aprovechan una cuenta de correo electrónico comercial ya comprometida para enviar mensajes de phishing para robar las credenciales de las víctimas. Los mensajes cuentan con el señuelo disfrazado de una notificación de intercambio de archivos para atraerlos a abrir lo que aparentemente parece ser un documento PDF, pero, en realidad, es un archivo de gráficos vectoriales escalables (SVG).
Lo notable de los mensajes es que los atacantes hacen uso de una táctica de correo electrónico autoenzada, donde el remitente y el destinatario las direcciones coinciden, y los objetivos reales estaban ocultos en el campo BCC para evitar las heurísticas de detección básica.
«Los archivos SVG (gráficos vectoriales escalables) son atractivo a los atacantes porque están basados en texto y scriptables, lo que les permite incorporar a JavaScript y otro contenido dinámico directamente dentro del archivo «, dijo Microsoft.» Esto hace posible entregar cargas de phishing interactivas que parecen benignas tanto para los usuarios como para muchas herramientas de seguridad «.
Además de eso, el hecho de que el formato de archivo SVG admite características como elementos invisibles, atributos codificados y ejecución de script retrasada lo hace ideal para adversarios que buscan un análisis estático y el sandboxing, agregó.
El archivo SVG, una vez lanzado, redirige al usuario a una página que sirve a un Captcha para la verificación de seguridad, completando lo que probablemente sean llevados a una página de inicio de sesión falsa para cosechar sus credenciales. Microsoft dijo que la siguiente etapa exacta no está clara debido a que sus sistemas marcan y neutralizan la amenaza.
Pero donde el ataque se distingue es cuando se trata de su enfoque de ofuscación inusual que utiliza un lenguaje relacionado con el negocio para disfrazar el contenido de phishing en el archivo SVG, un signo de que puede haber sido generado utilizando un LLM.
«Primero, el comienzo del código SVG se estructuró para parecer un tablero legítimo de análisis de negocios», dijo Microsoft. «Esta táctica está diseñada para engañar a cualquiera que inspeccione casualmente el archivo, lo que hace que parezca que el único propósito del SVG es visualizar los datos comerciales. En realidad, es un señuelo».
El segundo aspecto es que la funcionalidad central de la carga útil, que es redirigir a los usuarios a la página de destino de phishing inicial, activar huellas dactilares del navegador e iniciar el seguimiento de la sesión, también se oscurece utilizando una larga secuencia de términos relacionados con el negocio como ingresos, operaciones, riesgos, trimestrales, crecimiento o acciones.
Microsoft dijo que ejecutó el código contra su copiloto de seguridad, que descubrió que el programa «no era algo que un humano normalmente escribiría desde cero debido a su complejidad, verbosidad y falta de utilidad práctica». Algunos de los indicadores que solía llegar a la conclusión incluyen el uso de –
- Nombramiento demasiado descriptivo y redundante para funciones y variables
- Estructura de código altamente modular y demasiado diseñada
- Comentarios genéricos y detallados
- Técnicas formuladas para lograr la ofuscación utilizando la terminología empresarial
- Declaración de CDATA y XML en el archivo SVG, probablemente en un intento de imitar ejemplos de documentación
«Si bien esta campaña fue limitada en alcance y se bloqueó efectivamente, una variedad de actores de amenazas apalancan cada vez más técnicas similares», dijo Microsoft.
La divulgación se produce cuando Forcepoint detalló una secuencia de ataque de varias etapas que utiliza correos electrónicos de phishing con archivos adjuntos .xlam para ejecutar ShellCode que finalmente implementa Xworm RAT por medio de una carga útil secundaria, al tiempo que muestra un archivo de oficina en blanco o corrupto como una artimaña. La carga útil secundaria funciona como un conducto para cargar un archivo .dll en la memoria.
«El archivo .dll de la segunda etapa de la memoria utiliza técnicas de embalaje y cifrado fuertemente ofuscadas», ForcePoint dicho. «Este archivo .dll de segunda etapa cargó otro archivo .dll en la memoria nuevamente utilizando la inyección de DLL reflectante que fue aún más responsable de la ejecución final de malware».
«El siguiente y último paso realiza una inyección de proceso en su propio archivo ejecutable principal, manteniendo la persistencia y la exfiltración de datos a sus servidores de comando y control. Los C2 donde se exfiltraron los datos estaban relacionados con la familia Xworm».
En las últimas semanas, los ataques de phishing también han empleado Los señuelos relacionados con la administración de la Seguridad Social de los Estados Unidos y la infracción de los derechos de autor para distribuir SCRIENCONNECT Connectwise y los robadores de información como el robador de solo None y el robador de Purelogs, respectivamente, por cofense.
«La campaña generalmente falsifica a varias firmas legales que afirman solicitar el derribo del contenido de los derechos de autor en el sitio web de la víctima o la página de redes sociales», la compañía de seguridad de correo electrónico «, la compañía de seguridad de correo electrónico», dicho del segundo conjunto de ataques. «Esta campaña es notable por su uso novedoso de una página de perfil de Bot de Telegram para entregar su carga útil inicial, las cargas útiles de script de Python compiladas y evolucionando la complejidad como se ve a través de múltiples iteraciones de muestras de campaña».
Fuente