Ire identifica otro espécimen de LOTUSLITE

A primera vista, el Proyecto Ire identifica una variante de LOTUSLITE que comparte TTPs (herramientas, tácticas, procedimientos) con la familia pública, pero ninguno de sus indicadores de compromiso (IOC). El agente impulsado por LLM produce un informe conductual función por función sobre la muestra sin interacción del usuario para determinar si es malicioso. El binario nombra a un actor de amenazas en texto claro; el agente se niega a atribuir y en su lugar se enfoca en analizar estáticamente los comportamientos. Señalamos el Proyecto Ire, el agente autónomo de clasificación de malware de Microsoft, a una muestra de malware—a ciegas—y solicitamos un veredicto. La muestra es una variante de LOTUSLITE, un troyano de puerta trasera DLL de Windows, recientemente documentada por Acronis. El hash de nuestra copia no está en su lista de IOC, y hasta el 4 de junio, la mayoría de los EDRs importantes (CrowdStrike Falcon, SentinelOne, Sophos, Trellix, Palo Alto, ESET) aún no la marcan como malware. Ire produjo un informe conductual función por función—rutina de instalación, diseño de paquetes C2, IDs de comandos, mecanismo de persistencia, ofuscación—que coincide con el análisis publicado por Acronis. Una ejecución basada en un descompilador, sin antecedentes humanos. Esto es lo que la ingeniería inversa conductual y de agentes puede lograr cuando la coincidencia de firmas y las inspecciones manuales no son suficientes. Las variantes que comparten TTPs pero no indicadores de compromiso (IOC) son atrapadas en lugar de pasar desapercibidas por las listas de firmas. La clasificación de malware novedoso es un dominio sin un validador automático, que requiere una investigación a fondo y una comprensión holística de los comportamientos del software para descubrir y determinar la intención. Ire opera sin contexto: sin metadatos de origen, sin telemetría, sin solicitud de analista. Invoca descompiladores y herramientas de análisis binario, construye una cadena de evidencia auditable y llega a un veredicto de malicioso o benigno. La Unidad de Investigación de Amenazas (TRU) de Acronis publicó un informe sobre LOTUSLITE, un troyano de puerta trasera DLL entregado a través de un ZIP temático político, cargado lateralmente a través de un lanzador renombrado de Tencent KuGou. Lo atribuyen a Mustang Panda con una confianza moderada basada en la superposición de infraestructura y la división del cargador/DLL. Al buscar en VirusTotal muestras cuyo comportamiento coincidiera con el informe, encontramos una cuyo SHA-256 no aparece en la lista IOC de Acronis. La muestra: 47e51e82229e80a387c3cb100d39d3705e6360bbf9bfa1601dbc484e8d02e653. Cuando la recogimos el 28 de mayo, VirusTotal mostraba 1 de 72 proveedores marcándola. Una semana después, eso aumentó a 7 de 70. El clúster: Microsoft Trojan:Win32/Malgent!MSR, Kaspersky HEUR:Trojan-Dropper.Win32.Dorifel.gen, Rising Dropper.Dorifel!8.31E (CLOUD), Cynet (puntuación 100), Elastic (confianza moderada), Kingsoft, TrendMicro-HouseCall. Con Microsoft ahora marcando, la etiqueta de amenaza popular de VT ha cambiado a dropper.dorifel / malgent. CrowdStrike Falcon, SentinelOne, Sophos, Trellix, Palo Alto y ESET aún no la detectan. VT enumera el tipo de archivo como pedll (PE DLL) y el nombre del archivo.