¿Por qué siguen pasando desapercibidos los ataques basados en LNK?
A finales de 2025, Arctic Wolf Labs publicó un estudio sobre una campaña de espionaje dirigida contra entidades diplomáticas en Bélgica, Hungría y otros países europeos. El actor malicioso, un grupo vinculado a China identificado como UNC6384, utilizó correos electrónicos de spearphishing para distribuir archivos LNK (accesos directos de Windows) maliciosos, con temas relacionados con reuniones legítimas de la Comisión Europea y talleres relacionados con la OTAN.
Cuando un destinatario hacía clic en el acceso directo, un comando oculto de PowerShell iniciaba una cadena de infección en varias fases que, en última instancia, instalaba el troyano de acceso remoto PlugX. La campaña aprovechaba la vulnerabilidad ZDI-CAN-25373, una falla en los accesos directos de Windows revelada en marzo de 2025 que permite la ejecución encubierta de comandos al ocultarlos tras espacios en blanco de relleno en los argumentos de la línea de comandos de un archivo LNK.
El uso que hizo UNC6384 de este recurso puso de manifiesto un problema más amplio: los archivos de acceso directo siguen pareciendo algo habitual para los usuarios y, a menudo, se someten a un escrutinio menor que los ejecutables o los documentos con macros habilitadas. Una vez que se ejecuta un archivo LNK malicioso, la actividad más peligrosa suele desarrollarse en tiempo de ejecución a través de scripts codificados, archivos preparados y el uso indebido de binarios firmados, ámbitos en los que los análisis estáticos y las comprobaciones de reputación pueden tener dificultades para seguir el ritmo.
Desde entonces, la campaña no ha dejado de evolucionar. En abril de 2026, The Hacker News informó de que el mismo grupo de amenazas, conocido en el sector como TA416, había vuelto a atacar a organismos gubernamentales y diplomáticos europeos a partir de mediados de 2025, utilizando nuevos métodos de distribución, como el uso indebido de redireccionamientos OAuth, las páginas de desafío de Cloudflare Turnstile y la ejecución basada en MSBuild, al tiempo que seguía actualizando su carga útil PlugX.
La investigación de Arctic Wolf que se analiza en este artículo recoge una fase de lo que hoy en día es una operación documentada y en curso, y muestra cómo MetaDefender y la tecnología Deep CDR™, en combinación, acortan la distancia entre la detección y la prevención.
La cadena de ataque del UNC6384
Todo comenzó con un archivo que la mayoría de los usuarios nunca habría cuestionado. El archivo LNK distribuido en esta campaña, denominado «Agenda_Meeting 26 Sep Brussels.lnk», ocupaba tan solo 2,58 KB y hacía referencia a una reunión real de la Comisión Europea sobre la facilitación de la libre circulación de mercancías en los pasos fronterizos entre la UE y los Balcanes Occidentales. Se trataba del orden del día real de un evento real, con un acceso directo que parecía totalmente normal.
Fase 1: Acceso inicial a través de un archivo LNK malicioso
Cuando el destinatario hacía doble clic en el acceso directo, este iniciaba de forma silenciosa PowerShell con un comando ofuscado que descodificaba y extraía un archivo tar (rjnlzlkfe.ta) al directorio Temp local del usuario. A continuación, el comando de PowerShell utilizaba tar.exe para descomprimir el archivo y ejecutaba su contenido, al tiempo que abría un PDF de señuelo que mostraba el orden del día real de la reunión. La víctima veía un documento. El atacante conseguía ejecutar código.
Etapa 2: Instalación paralela de DLL mediante un binario legítimo y firmado
El archivo descomprimido contenía tres archivos: cnmpaui.exe, cnmpaui.dll y cnmplog.dat. El primero es una utilidad legítima de asistencia para impresoras Canon, firmada digitalmente por Canon Inc. con un certificado emitido por Symantec. La firma es válida porque se selló con la fecha y la hora mientras el certificado aún estaba activo, lo que significa que Windows sigue confiando en el archivo binario aunque el certificado en sí caducara en 2018 (Arctic Wolf).
Aquí es donde la precisión es fundamental. El archivo EXE no es malicioso. Se trata de una utilidad auténtica de Canon que se está utilizando indebidamente con un fin concreto: cuando se ejecuta cnmpaui.exe, busca el archivo cnmpaui.dll en su propio directorio antes de comprobar las rutas del sistema. Al colocar un archivo DLL malicioso con el mismo nombre junto al binario legítimo, UNC6384 se apropió de ese orden de búsqueda y cargó su propio código dentro de un proceso de confianza.
Fase 3: Descifrado de la carga útil y ejecución de PlugX
El archivo malicioso cnmpaui.dll es un cargador ligero —de tan solo 4 KB en la variante de octubre de 2025— diseñado para una única función: descifrar y ejecutar el tercer archivo, cnmplog.dat. Dicho archivo es un blob cifrado con RC4 que contiene el troyano de acceso remoto PlugX. El cargador lo descifra utilizando una clave de 16 bytes codificada de forma fija y asigna la carga útil resultante directamente al espacio de memoria del proceso legítimo cnmpaui.exe.
A partir de ese momento, PlugX se ejecuta dentro de un binario firmado y de confianza. Establece su persistencia a través de una clave de ejecución del Registro denominada «CanonPrinter», crea directorios ocultos con nombres como «SamsungDriver» o «DellSetupFiles» para camuflarse en el entorno, y se comunica con la infraestructura de comando y control a través de HTTPS en el puerto 443, utilizando rutas URL aleatorias y una cadena de agente de usuario de Internet Explorer falsificada para mezclarse con el tráfico web normal.
Desde el primer clic hasta la activación de una puerta trasera, nada en esta cadena parecía abiertamente malicioso a primera vista, y la mayor parte del comportamiento verdaderamente sospechoso solo se manifestaba en tiempo de ejecución. Cada etapa estaba diseñada para parecer normal ante una inspección estática y para ejecutarse en lugares que los filtros tradicionales no detectaban.
Por qué las defensas estáticas tienen dificultades con esta cadena
Las defensas estáticas tienen dificultades para hacer frente a esta cadena porque cada etapa está diseñada para parecer inofensiva por sí sola. Lo que hace que la campaña sea eficaz no es un único archivo claramente malicioso, sino una secuencia de componentes que parecen fiables y cuya verdadera intención solo se hace evidente en tiempo de ejecución. Este patrón no se limita a los archivos de acceso directo: los atacantes también han ocultado cargas maliciosas en archivos de imagen aparentemente inofensivos y los han combinado con la distribución basada en LNK para eludir la detección de los antivirus tradicionales.
Por qué las defensas estáticas tienen dificultades con esta cadena
| Escenario | Lo que ve el defensa | Por qué supera la inspección |
|---|---|---|
| Archivo LNK malicioso | Un archivo de acceso directo de 2,58 KB que hace referencia a una reunión diplomática | Los archivos LNK se consideran de bajo riesgo por defecto; ZDI-CAN-25373 oculta el comando de PowerShell tras un relleno de espacios en blanco que la mayoría de los analizadores de metadatos no procesan. |
| Firmado por el obispo | Un archivo binario PE32 legítimo con una firma digital válida y con marca de tiempo de un editor reconocido | Si se bloqueara, se marcaría como sospechoso cualquier entorno que ejecute el software de impresoras Canon. Los motores de reputación no tienen motivos para desconfiar de él. |
| DLL de carga de 4 KB | Una DLL mínima, sin importaciones que parezcan sospechosas, cuya única función es leer, descifrar y pasar el control de ejecución | Las reglas de YARA pueden detectar variantes conocidas, pero un cargador recompilado con una clave o una rutina de descifrado diferentes escapa a la cobertura estática. |
| Carga útil cifrada de PlugX | Un bloque de datos .dat opaco que nunca llega al disco en formato descifrado | El análisis basado en archivos nunca examina el malware en sí. La carga útil se carga directamente en el espacio de memoria del proceso de confianza de Canon. |
Esa brecha entre lo que las herramientas estáticas pueden inspeccionar y lo que realmente ocurre en tiempo de ejecución es donde prosperan las campañas evasivas. Para cerrarla, se necesita un enfoque de detección capaz de observar toda la ruta de ejecución, desde la ejecución inicial del archivo hasta cada una de las etapas posteriores, y emitir un veredicto basado en el comportamiento más que en la apariencia.
Cómo MetaDefender pone al descubierto toda la cadena
MetaDefender es la solución unificada de detección de vulnerabilidades de día cero OPSWAT, que combina cuatro capas de análisis para examinar cada archivo desde múltiples perspectivas antes de emitir un único veredicto fiable.
- La evaluación de la reputación de amenazas compara los hash, los metadatos y los indicadores integrados del archivo con la información global extraída de más de 50 000 millones de indicadores. En este proceso, esto ayuda a identificar lo que ya se conoce y a aportar contexto a lo que aún no se conoce.
- A continuación, Adaptive ejecuta el archivo en un entorno emulado y observa la secuencia de ejecución: el archivo LNK que inicia PowerShell, el comando codificado que descodifica un archivo tar, el binario firmado de Canon que carga una DLL sin firmar y la carga útil descifrada de PlugX que establece la persistencia y se conecta a la infraestructura C2 (comando y control).
- La puntuación de amenazas combina esos resultados, las señales de reputación y los indicadores extraídos en una puntuación de riesgo ponderada que tiene en cuenta todo el contexto conductual.
- La búsqueda de similitudes basada en aprendizaje automático compara el archivo y su comportamiento con familias de malware conocidas y actividades relacionadas, lo que ayuda a detectar vínculos con variantes de PlugX o campañas similares de sideloading de DLL.
En conjunto, el proceso ofrece una eficacia de detección de amenazas de día cero de hasta el 99,9 % y proporciona un único veredicto fiable por archivo, en lugar de obligar a los analistas del SOC a conciliar manualmente informes separados. Esto resulta fundamental cuando los equipos deben clasificar cientos de archivos al día procedentes del correo electrónico, MFT, ICAP, quioscos, sistemas de almacenamiento y flujos de trabajo entre dominios.
Un factor diferenciador clave de esta cadena es la emulación a nivel de instrucción. Los entornos de pruebas basados en máquinas virtuales (VM) tradicionales pueden pasar por alto el malware que utiliza técnicas de evasión contra máquinas virtuales, retrasos temporales y comprobaciones del entorno para evitar la ejecución completa. El entorno de pruebas adaptativo MetaDefender emula el comportamiento de la CPU y del sistema operativo a nivel de instrucción, lo que ayuda a revelar la secuencia completa de carga lateral desde LNK a PowerShell y a DLL.
Para los equipos de SOC, la recompensa es práctica:
- Una clasificación más rápida, ya que el veredicto ya está correlacionado y asignado según el sistema MITRE
- Decisiones de bloqueo más sólidas, ya que el veredicto se basa en el comportamiento en tiempo de ejecución y no solo en la reputación estática
- Reducción de los falsos positivos, ya que MetaDefender es capaz de distinguir entre un binario legítimo firmado que está siendo objeto de uso indebido y una carga útil verdaderamente maliciosa
- Una mejor preparación frente a los ataques de día cero en los puntos de entrada de archivos por donde estos ataques acceden al entorno
Cómo la tecnología Deep CDR™ neutraliza el disparador
La tecnología Deep CDR™ detiene esta cadena antes de que se ponga en marcha, desactivando el archivo que lo desencadena todo. Mientras que MetaDefender revela lo que hace un archivo malicioso en tiempo de ejecución, la tecnología Deep CDR™ ayuda a garantizar que el archivo nunca tenga la oportunidad de ejecutarse.
El mecanismo es específico del funcionamiento de los ataques basados en LNK. Un acceso directo malicioso transmite su intención maliciosa a través de argumentos de línea de comandos incrustados; en este caso, la invocación codificada de PowerShell que descodifica el archivo tar y ejecuta la cadena de carga útil. La tecnología Deep CDR™ identifica ese comando incrustado y lo sustituye por un comando ficticio inofensivo, conservando el acceso directo en su forma desinfectada y eliminando al mismo tiempo su capacidad para actuar como desencadenante del ataque.
El resultado es un flujo de trabajo LNK «limpio», en el que el comportamiento malicioso original se neutraliza antes de la ejecución. No hay ejecución de PowerShell, ni extracción de archivos comprimidos, ni carga lateral de DLL, ni PlugX. Juntos, MetaDefender y la tecnología Deep CDR™ crean un modelo de defensa de dos capas.
Modelo de defensa de dos niveles
| Capa | Tecnología | Función |
|---|---|---|
| Detectar y comprender | MetaDefender | Ejecuta el archivo, muestra la ruta completa de ejecución en varias etapas, extrae los indicadores de comportamiento (IOC) y devuelve un único veredicto fiable. |
| Desarmar y prevenir | Tecnología Deep CDR™ | Neutraliza el comando LNK malicioso, impidiendo que se ejecute el acceso directo. |
Esa distinción es importante en la práctica. MetaDefender es la solución de detección de amenazas de día cero para archivos que requieren un análisis en profundidad, especialmente cuando el objetivo es comprender el comportamiento en tiempo de ejecución y emitir un veredicto fiable. La tecnología Deep CDR™ es el control de desinfección y prevención para archivos cuyo contenido puede neutralizarse de forma segura sin afectar a su uso legítimo. Juntas, abordan las dos facetas del problema: comprender qué hace una amenaza y garantizar que nunca tenga la oportunidad de actuar.
Por qué es importante la precisión
La precisión es importante porque no todos los archivos de una cadena de ataque son maliciosos, y tratarlos a todos por igual da lugar a una detección excesivamente amplia que socava la confianza en tus herramientas. Esta campaña lo deja claro.
La utilidad firmada de la impresora Canon (cnmpaui.exe) es un archivo binario legítimo. Cuenta con una firma digital válida, una reputación impecable y un hash asociado a software legítimo. Marcarla como maliciosa generaría falsos positivos en entornos en los que esté instalado el software de la impresora Canon, y haría que los analistas del SOC dejaran de confiar en las alertas que reciben.
Los principales indicadores de compromiso (IOC) son el archivo DLL malicioso (cnmpaui.dll) y la cadena de comportamiento que este permite:
- Carga lateral y descifrado de una carga útil cifrada con una clave RC4 predefinida
- Asignación del binario PlugX descifrado al espacio de memoria de un proceso de confianza
- Configuración de la persistencia mediante la clave de ejecución «CanonPrinter»
- Iniciar tráfico C2 por HTTPS con rutas URL aleatorias y una cadena de agente de usuario falsificada
Esas son las señales más importantes, y solo se detectan cuando una herramienta de detección es capaz de observar el comportamiento y distinguir entre un archivo binario de confianza que está siendo utilizado indebidamente y un artefacto genuinamente malicioso.
Es aquí donde el veredicto único y fiable MetaDefender cobra especial relevancia. En lugar de aplicar una etiqueta genérica de «malicioso» a todos los archivos de la cadena, el proceso de detección puntúa cada componente en función de su comportamiento observado dentro del contexto de ejecución completo.
El archivo EXE firmado se identifica como un binario legítimo utilizado para la instalación paralela. La DLL y el comportamiento en tiempo de ejecución que genera se señalan como la verdadera amenaza. Esa distinción ofrece a los equipos de seguridad una visión más clara y reduce el esfuerzo manual necesario para distinguir la información relevante del ruido.
La detección estática de la DLL maliciosa también puede reforzarse con reglas específicas, como YARA, y las firmas YARA publicadas por Arctic Wolf para el cargador CanonStager constituyen un punto de partida útil. Sin embargo, la cobertura basada en firmas es, por naturaleza, reactiva. En una cadena como esta, lo que realmente marca la diferencia es la visibilidad del comportamiento, junto con la neutralización de archivos.
Aplicación de la seguridad de archivos por capas para detectar cadenas de ataque basadas en archivos LNK
Los ataques basados en archivos LNK siguen funcionando porque se valen de un tipo de archivo que la gente ve a diario y que rara vez considera peligroso. En un artículo anterior, señalamos que los archivos LNK son acortamientos normales de Windows que los atacantes pueden utilizar como arma ocultando comandos de PowerShell o cmd.exe en su interior, a veces de formas que parecen inofensivas hasta que el archivo se abre realmente. Esa es precisamente la razón por la que campañas como la de UNC6384 siguen teniendo éxito: el acortamiento parece familiar, pero el comportamiento que desencadena no lo es en absoluto.
Esta tendencia se ha mantenido a lo largo de múltiples campañas. En nuestro análisis sobre Emotet, explicamos por qué los archivos de acceso directo eran difíciles de distinguir de los documentos normales y que su extensión no se mostraba de forma predeterminada en Windows. Esto los hacía especialmente eficaces como vectores de distribución. La lección es la misma en este caso: los atacantes no necesitan un truco novedoso cuando un tipo de archivo conocido sigue pudiendo colarse en los flujos de trabajo cotidianos y poner en marcha una cadena de infección en varias fases.
La solución no consiste en etiquetar como malicioso todos los archivos de la cadena. Se trata de aplicar una seguridad de archivos por capas que permita identificar el comportamiento en tiempo de ejecución, distinguir entre un binario legítimo que está siendo utilizado indebidamente y una carga maliciosa, y detener el desencadenante antes de que se active. Consulte a un OPSWAT sobre cómo MetaDefender y la tecnología Deep CDR™ pueden ayudar a su equipo a detectar, analizar y prevenir los ataques basados en archivos LNK.
