En 2021, el Grupo Lazarus atacó a investigadores de seguridad mediante proyectos de Visual Studio infectados. En 2024, introdujeron paquetes maliciosos en PyPI mediante typosquatting. Y en una campaña activa al menos desde marzo de 2025, el grupo pasó a utilizar señuelos de spear phishing que se hacían pasar por Edge Group, el IIT Kanpur y Airbus, dirigiéndose a organizaciones del sector aeroespacial y de defensa.
El contenedor de distribución cambia, pero la estrategia subyacente no. Cada iteración de la puerta trasera «Comebacker» del grupo se basa en el mismo punto de entrada: un archivo que el usuario abre y en el que confía. Un análisis reciente de ENKI detalla esta última variante de Comebacker y revela una evolución técnica significativa.
El dropper utiliza ahora un algoritmo XOR/intercambio de bits personalizado, en lugar de los cifrados RC4 o HC256 que se encontraban en versiones anteriores. Las etapas del cargador han pasado a utilizar el cifrado ChaCha20. Y, por primera vez, el tráfico de comando y control se cifra con AES-128-CBC, abandonando las comunicaciones en texto plano que facilitaban la interceptación de las variantes anteriores.
Cada uno de estos cambios está diseñado para eludir la detección basada en firmas, y ninguno de ellos tiene relevancia si el archivo malicioso ni siquiera llega al usuario. Para las organizaciones que gestionan programas clasificados, datos sujetos a la normativa ITAR o sistemas OT de importancia crítica, el compromiso de una sola estación de trabajo puede desencadenar un incidente en la cadena de suministro.
Este artículo analiza cómo funciona la cadena de infección de Comebacker, por qué las defensas tradicionales tienen dificultades para hacerle frente y cómo la seguridad de archivos basada en la prevención, aplicada en la pasarela de correo electrónico, en el control de los soportes extraíbles y en todos los puntos de entrada intermedios, neutraliza la amenaza independientemente de cómo se haya ofuscado la carga útil.
Cómo los ataques a través de archivos eluden las defensas perimetrales
Los actores estatales, como el Grupo Lazarus, aprovechan el correo electrónico y los soportes extraíbles porque las organizaciones del sector aeroespacial y de defensa recurren a estos canales para transferir archivos a través de las redes. Lo que hace que Comebacker sea difícil de detectar es lo que ocurre tras la entrega. El documento inicial parece legítimo, pero, una vez abierto, activa una cadena de ejecución en varias fases diseñada para permanecer oculta.
Principales puntos de entrada para las campañas del tipo «Comebacker»
Correo electrónico:
Archivos adjuntos maliciosos camuflados como contratos con proveedores, actualizaciones de proyectos o facturas. ENKI identificó cuatro documentos de señuelo en formato .docx que se hacían pasar por Edge Group, el IIT Kanpur y Airbus en una campaña activa desde, al menos, marzo de 2025.
Medios periféricos:
USB o discos portátiles infectados que se introducen en las redes de ingeniería o fabricación durante operaciones rutinarias, como actualizaciones de software o ciclos de mantenimiento.
Una macro de VBA descifra un cargador junto con un documento señuelo muy convincente mediante un algoritmo XOR/intercambio de bits personalizado. El cargador se ejecuta a través de varias etapas cifradas utilizando ChaCha20. La puerta trasera final se ejecuta íntegramente en memoria, sin dejar rastros en el disco que puedan detectar las herramientas de seguridad de los dispositivos.
Para cuando la puerta trasera se comunica con el servidor central, todo el tráfico de comando y control está cifrado con AES-128-CBC, camuflándose entre la actividad HTTPS habitual. Las herramientas perimetrales tradicionales detectan que un usuario abre un documento y genera tráfico web cifrado, pero nada de esa secuencia activa una alerta.
El Grupo Lazarus está ejecutando variantes paralelas con diferentes implementaciones criptográficas: ChaCha20 en una cadena y HC256 en otra, todas con una funcionalidad de puerta trasera idéntica. Una firma de detección diseñada para una de ellas no detectará la otra. Este es el problema fundamental de basarse únicamente en la detección. Los atacantes están diseñando específicamente sus cargas útiles para eludirla.
Neutralizar el malware antes de que se ejecute
Entonces, ¿qué se hace ante una amenaza diseñada específicamente para eludir la detección? Una opción es añadir más capas de detección, más motores, más firmas y más reglas de comportamiento. Eso ayuda, pero los atacantes ya están diseñando malware para eludir ese modelo. La otra opción es empezar a eliminar los elementos que hacen que un archivo sea peligroso. Esa es la lógica operativa que subyace a las tecnologías OPSWAT.
Todos los archivos que entran en el entorno, ya sea por correo electrónico o mediante soportes extraíbles, se procesan primero mediante Metascan™ Multiscanning. El archivo se analiza en paralelo con más de 30 motores antimalware, combinando la detección basada en firmas con la heurística y el aprendizaje automático. Mientras que un solo motor podría pasar por alto una variante nueva de Comebacker, la probabilidad de que más de 30 motores la pasen por alto se reduce considerablemente.
Sin embargo, la cobertura de detección, por amplia que sea, sigue dependiendo del reconocimiento de elementos maliciosos. La tecnología Deep CDR™ no intenta identificar la carga útil. En su lugar, elimina las condiciones que permiten que esta se ejecute. Esta capa de prevención elimina de los archivos los elementos activos, como macros, scripts, ejecutables incrustados y objetos ocultos. A continuación, reconstruye una versión limpia y utilizable del documento. Este proceso funciona con más de 200 tipos de archivos y se completa en milisegundos.
Tecnología Deep CDR™ en un ataque de tipo «comebacker»
Antes de la tecnología Deep CDR™ | Con la tecnología Deep CDR™ |
|---|---|
| Las macros de VBA activan la cadena de carga | Macros eliminadas |
| El ejecutable integrado descarga una carga útil en varias fases | Se ha eliminado el archivo ejecutable |
| Contenido del documento ficticio (texto, formato, imágenes) | Se ha eliminado el archivo ejecutable |
Gracias a esta tecnología, se eliminan los elementos peligrosos y se conserva el contenido útil. Ni el cargador, ni las etapas de cifrado, ni la puerta trasera en memoria tienen posibilidad alguna de ejecutarse. Sin embargo, no todos los archivos pueden ser depurados. Los ejecutables, los instaladores y determinados documentos regulados deben permanecer intactos, especialmente en entornos aeroespaciales, de defensa e infraestructuras críticas. Para esos archivos, se requiere un tipo diferente de inspección.
Detección de amenazas evasivas basadas en archivos que no pueden eliminarse
En el caso de los archivos que deben pasar sin modificaciones,Sandbox Adaptive MetaDefender Sandbox un análisis de comportamiento mediante la detección de amenazas basada en la emulación. En lugar de basarse en firmas o en inspecciones estáticas, observa cómo se comporta un archivo durante su ejecución para detectar actividades maliciosas ocultas.
El análisis de ENKI revela que el Grupo Lazarus incorpora mecanismos de detección del entorno en su malware, utilizando técnicas de activación diferida y evasión diseñadas para detectar y eludir las máquinas virtuales. En lugar de poner en marcha una máquina virtual completa, Adaptive Sandbox emula la ejecución a nivel de instrucciones, lo que permite realizar el análisis sin dejar rastros que el malware pueda detectar.
Sandboxing basado en máquinas virtuales frente a sandboxing basado en emulación
Entorno aislado basado en máquinas virtuales | Sandbox Adaptive basado en emulación |
|---|---|
| Detectable mediante comprobaciones anti-VM | Rendimiento limitado en entornos de gran volumen |
| Veredictos que requieren muchos recursos y son más lentos | Hasta 10 veces más eficiente Resultados en segundos |
| Veredictos que requieren muchos recursos y son más lentos | Elimina las evasiones contra máquinas virtuales, contra la depuración y basadas en el tiempo sin necesidad de ajustes manuales |
| Rendimiento limitado en entornos de gran volumen | Diseñado para el análisis de archivos de alto rendimiento |
Durante el análisis, Adaptive Sandbox comportamientos en tiempo de ejecución, como la actividad del sistema de archivos, los intentos de inyección de procesos, los cambios en el Registro y la comunicación de red. Estos son los patrones que genera la cadena de carga de Comebacker: el acceso directo de persistencia en la carpeta de inicio, la ejecución de rundll32 y la comunicación cifrada con el servidor C2.
Adaptive Sandbox descomprime cargas útiles en capas y revela indicadores de compromiso (IOC) ocultos que las herramientas basadas en firmas nunca detectan. Los resultados se correlacionan con las técnicas de MITRE ATT&CK y se incorporan a la plataforma como inteligencia sobre amenazas útil, lo que permite tomar decisiones más rápidas y llevar a cabo una búsqueda de amenazas más eficaz.
Abordar la «pirámide del dolor» mediante la detección unificada
La evolución de Comebacker se ajusta perfectamente a la «Pirámide del Dolor», un marco que clasifica los indicadores de amenaza según el esfuerzo que supone modificarlos para un atacante, desde los hash en la base (fáciles de rotar) hasta las TTP en la cima (que requieren un importante esfuerzo de desarrollo para reescribirlas). El Grupo Lazarus ha rotado los indicadores de bajo coste en todas las campañas conocidas de Comebacker desde 2021.
Comebacker, vinculado a la Pirámide del Dolor
Nivel de la pirámide del dolor | Ejemplo de «Comebacker» |
|---|---|
| Valores hash | Hashes SHA256 distintos para cada fase de dropper y loader |
| Direcciones IP / Nombres de dominio | Dominios C2 que se alternaban entre campañas: hiremployee[.]com, birancearea[.]com. Infraestructura de prueba alojada en office-theme[.]com |
| Elementos de red/host | El tráfico C2 cifrado con AES-128-CBC sustituye a las comunicaciones anteriores en texto plano; se han escrito atajos de persistencia en la carpeta de inicio |
| Herramientas | Evolución del cifrado de RC4 a HC256 y a ChaCha20 a lo largo de las etapas del cargador; algoritmo personalizado de XOR/intercambio de bits en el dropper |
| TTP | Spear phishing con documentos maliciosos (T1566.001), carga de código reflectivo (T1620), señalización C2 cifrada (T1573.001), ejecución de binarios del sistema a través de un proxy mediante rundll32 (T1218.011) |
Probablemente, al Grupo Lazarus le lleve horas o días modificar las filas inferiores; reescribir la arquitectura del cargador y los patrones de ejecución requiere mucho más tiempo. Una estrategia de detección centrada únicamente en las filas inferiores supone seguirle el juego al grupo. Cada vez que se crea una firma para una clave ChaCha20, ellos generan otra.
De Sandbox la detección unificada
En la sección anterior se ha mostrado cómo Adaptive Sandbox el comportamiento en tiempo de ejecución de Comebacker. MetaDefender amplía esa capacidad a un flujo de trabajo unificado que aborda toda la «pirámide del dolor», procesando cada archivo a través de cuatro capas cada vez más profundas.
Nivel 1, reputación de amenazas: compara los hash de archivos, las direcciones IP y los dominios con más de 50 000 millones de indicadores. La infraestructura conocida de Comebacker y las muestras detectadas anteriormente se bloquean de inmediato.
Capa 2, análisis dinámico: remite las muestras desconocidas a la emulación a nivel de instrucciónSandbox Adaptive , revelando cadenas de carga en varias etapas, rutinas de descifrado y la ejecución de rundll32. Los indicadores de compromiso (IOC) recién descubiertos se incorporan automáticamente a la Capa 1, lo que refuerza la detección de archivos posteriores.
Capa 3, puntuación de amenazas: correlaciona las señales de comportamiento y asigna una puntuación de riesgo basada en el nivel de confianza, teniendo en cuenta los mecanismos de persistencia, la inyección de procesos y la actividad C2. Es aquí donde se detectan las señales cifradas enviadas a los servidores C2 de Comebacker, independientemente del cifrado que se utilice.
Capa 4, Búsqueda de amenazas: utiliza la búsqueda de similitudes basada en el aprendizaje automático en más de 100 millones de muestras analizadas para vincular la variante de 2025 con las campañas «Comebacker» de 2021 y 2024, a pesar de que el esquema de cifrado cambió por completo. Obligar al Grupo Lazarus a abandonar su arquitectura de cargadores y su modelo de ejecución supone un tipo de presión fundamentalmente diferente a la de perseguir nuevos hash de archivos.
Incorporación de inteligencia previa a la ejecución con Predictive Alin AI
No todos los archivos requieren un análisis completo de su comportamiento. En entornos con un gran volumen de tráfico, enviar cada archivo desconocido al entorno de pruebas (sandbox) genera una carga en el rendimiento. La IA Predictive Alin OPSWAT resuelve este problema actuando como una capa de inteligencia previa a la ejecución.
Predictive Alin AI utiliza el aprendizaje automático para analizar indicadores estructurales y de comportamiento de los archivos ejecutables sin necesidad de ejecutarlos. Los resultados se obtienen en menos de 100 milisegundos en el percentil 99. Las primeras pruebas muestran una tasa de detección del 90 % en archivos ejecutables, con un 0,1 % de falsos positivos. El motor funciona tanto en línea como sin conexión con el mismo rendimiento, lo que permite su implementación en los mismos entornos aislados de la red donde las amenazas del tipo Comebacker tienen mayores consecuencias.
2 capacidades clave relevantes
- Predicción de vulnerabilidades de día cero: la IA predictiva de Alin identifica amenazas nunca vistas que los motores basados en firmas pasan por alto, evaluando formatos ejecutables de alto riesgo (PE, ELF, Mach-O y PDF) antes de que se ejecuten. La ampliación de la cobertura de tipos de archivo está prevista en la hoja de ruta.
- Reducción de la carga del entorno de pruebas: los archivos que el motor descarta con un alto grado de certeza pasan sin someterse al análisis en el entorno de pruebas. Los archivos que el motor marca se someten de forma prioritaria al proceso completo de cuatro capas MetaDefender , lo que permite reservar la capacidad del entorno de pruebas para aquellos archivos que realmente requieren un análisis de comportamiento en profundidad.
Proteger la pasarela de correo electrónico antes de que las amenazas lleguen a la bandeja de entrada
El correo electrónico es la vía de entrada de Comebacker. Los archivos de señuelo se diseñaron para llegar a la bandeja de entrada y ser abiertos. Si el archivo adjunto malicioso nunca llega, la cadena de infección nunca se inicia. MetaDefender Cloud Security™ se integra con Microsoft 365 y Google Workspace para analizar y desinfectar los mensajes antes de que lleguen a los usuarios. Funciona en línea con el flujo de correo, lo que significa que las amenazas se detienen antes de su entrega.
Protección de tres capas
- Archivos adjuntos: Los archivos se procesan mediante las tecnologías Metascan™ Multiscanning Deep CDR™. Un archivo .docx de Comebacker que contenga macros VBA incrustadas se desmonta y se vuelve a crear antes de que el destinatario pueda verlo.
- Enlaces: Las URL se analizan y se reescriben para bloquear las páginas de phishing y las redirecciones de comando y control.
- Aplicación de políticas: los mensajes sospechosos se ponen automáticamente en cuarentena, se limpian o se remiten a un nivel superior según las normas de la organización.
Para los equipos de seguridad, el impacto es inmediato. Un menor número de correos electrónicos maliciosos que llegan a los usuarios se traduce en menos alertas, menos investigaciones y menos tiempo dedicado a la corrección de incidencias. Esto permite a los equipos centrarse en las amenazas de mayor prioridad.
Protección de Media extraíbles Media redes aisladas
USB y los discos portátiles actúan como puente entre los sistemas externos y las redes de control, lo que convierte cada archivo transferido en un posible punto de entrada. MetaDefender y MetaDefender Media establecen puntos de control seguros en estas fronteras.
Antes de que cualquier archivo procedente de un soporte extraíble acceda a un entorno sensible, se analiza y se desinfecta mediante las tecnologías Metascan™ Multiscanning Deep CDR™. De este modo, se aplica a los soportes físicos la misma protección que se utiliza en la pasarela de correo electrónico. Un documento malicioso que utilice macros incrustadas o cargas útiles escalonadas queda neutralizado antes de llegar al sistema de destino.
Los entornos operativos plantean un reto adicional: la diversidad de soportes. El quiosco es compatible con más de 20 tipos de soportes, entre los que se incluyen USB, USB, tarjetas SD, soportes ópticos y formatos antiguos, lo que garantiza una aplicación coherente incluso en aquellos casos en los que se siguen utilizando tecnologías más antiguas.
La clave de su eficacia radica en la aplicación de estas medidas. Una vez que un archivo supera la inspección, recibe una firma digital. Media Agent OPSWAT, instalado en los dispositivos finales, bloquea cualquier soporte extraíble que carezca de esta firma. Una USB que no haya sido analizada simplemente no funciona.
Las políticas centralizadas coordinan todo el proceso. MetaDefender aplica reglas de cuarentena, restricciones de dispositivos y registros de auditoría en todos los flujos de trabajo multimedia, garantizando que cada archivo que entre en un entorno aislado sea inspeccionado, validado y registrado. Para las organizaciones que operan bajo los requisitos de NERC CIP, NIST 800-53 o ISA/IEC, este nivel de control es esencial. Proporciona pruebas verificables de que cada archivo que entra en el entorno ha sido inspeccionado y autorizado.
Prevención unificada más allá de los límites de los archivos
Las tecnologías descritas en las secciones anteriores —el escaneo múltiple, la tecnología Deep CDR™, el entorno aislado, la seguridad del correo electrónico y la aplicación de políticas de quiosco— resultan más eficaces cuando funcionan bajo un único marco normativo.MetaDefender proporciona esa base.
La plataforma centraliza las políticas, la telemetría y la aplicación de medidas en todos los puntos de entrada de archivos, desde las pasarelas de correo electrónico en la nube hasta los puntos de control de soportes extraíbles y las transferencias de red. En lugar de gestionar cada control de forma aislada, los equipos de seguridad definen las reglas de gestión de archivos una sola vez y las aplican de manera uniforme en todas partes.
3 flujos de trabajo esenciales que permite MetaDefender Core
- Políticas de archivos coherentes: se aplican las mismas reglas de análisis y limpieza, independientemente de cómo entre el archivo en el entorno.
- Corrección automatizada: Sandbox y los datos de reputación activan decisiones de bloqueo, cuarentena o liberación sin intervención manual.
- Cumplimiento normativo y preparación para investigaciones forenses: los indicadores de compromiso (IOC) y los registros de auditoría se exportan a plataformas SIEM para la elaboración de informes y la realización de investigaciones.
Este enfoque unificado elimina las lagunas entre los controles individuales. La evaluación de un archivo sospechoso en un entorno aislado puede influir de inmediato en la forma en que se gestionan archivos similares en otros entornos. El resultado operativo es una detección más rápida, una reducción de la carga de trabajo de los analistas y menos posibilidades de que un archivo malicioso se cuele a través de brechas descoordinadas.
Asegurarse de que Comebacker no vuelva nunca más
El Grupo Lazarus seguirá perfeccionando sus esquemas de cifrado, sus cadenas de carga y sus métodos de distribución, pero lo que no puede cambiar fácilmente es su dependencia del archivo como punto de entrada. La MetaDefender garantiza la prevención en cada punto de contacto con los archivos, ya sea en el correo electrónico, en soportes extraíbles o en las transferencias de red.
La tecnología Multiscanning Deep CDR™ neutraliza las amenazas antes de que se ejecuten. El proceso de detección de cuatro capas MetaDefender identifica lo que no se puede desinfectar de forma segura, opera en toda la «pirámide del dolor» y genera información que refuerza las defensas con cada análisis.
La IA predictiva de Alin amplía esa inteligencia al perímetro, bloqueando las vulnerabilidades de día cero previstas en milisegundos y reservando la capacidad del entorno de pruebas para los archivos que más la necesitan. MetaDefender Core estos controles funcionen bajo un marco normativo unificado.
Frente a Comebacker y las campañas que vendrán a continuación, la verdadera cuestión no es si tus defensas pueden detectar la última variante, sino si un archivo malicioso puede llegar al usuario en primer lugar. Para saber cómo OPSWAT ayudarte a reforzar la prevención en todo tu entorno, ponte en contacto con un experto.
