Ire identifica otro espécimen de LOTUSLITE
A primera vista, el Proyecto Ire identifica una variante de LOTUSLITE que comparte TTPs (herramientas, tácticas, procedimientos) con la familia pública, pero ninguno de sus indicadores de compromiso (IOC).
El agente impulsado por LLM produce un informe de comportamiento función por función sobre la muestra sin ninguna interacción del usuario para determinar si es malicioso.
El binario nombra a un actor de amenaza en texto claro; el agente se niega a atribuir y en su lugar se enfoca en analizar estáticamente los comportamientos.
Dirigimos el Proyecto Ire, el agente autónomo de clasificación de malware de Microsoft, a una muestra de malware—sin vista—y pedimos un veredicto. La muestra es una variante de LOTUSLITE, una puerta trasera DLL de Windows documentada recientemente por Acronis. El hash de nuestra copia no está en su lista de IOC, y hasta el 4 de junio, la mayoría de los EDRs importantes (CrowdStrike Falcon, SentinelOne, Sophos, Trellix, Palo Alto, ESET) aún no lo marcan como malware. Ire produjo un informe de comportamiento función por función—rutina de instalación, diseño de paquetes C2, IDs de comando, mecanismo de persistencia, ofuscación—que se alinea con el análisis publicado por Acronis. Una ejecución basada en decompiladores, sin antecedentes humanos.
Esto es lo que la ingeniería inversa de comportamiento y agente puede lograr cuando la coincidencia de firmas y las inspecciones manuales quedan cortas. Las variantes que comparten TTPs pero no indicadores de compromiso (IOC) son atrapadas en lugar de evitar las listas de firmas. La clasificación de malware novedoso es un dominio sin validador automático, que requiere una investigación en profundidad y una comprensión holística de los comportamientos del software para descubrir y determinar la intención. Ire opera sin contexto: sin metadatos de origen, sin telemetría, sin aviso de analista. Invoca decompiladores y herramientas de análisis binario, construye una cadena de evidencia auditable y llega a un veredicto de malicioso o benigno.
La Unidad de Investigación de Amenazas (TRU) de Acronis publicó un informe sobre LOTUSLITE, una puerta trasera DLL entregada a través de un ZIP de temática política, instalada mediante un lanzador de Tencent KuGou renombrado. La atribuyen a Mustang Panda con confianza moderada basada en la superposición de infraestructura y la separación de cargador/DLL. Al buscar en VirusTotal muestras cuyo comportamiento coincidiera con el informe, encontramos una cuyo SHA-256 no aparece en la lista de IOC de Acronis.
La muestra: 47e51e82229e80a387c3cb100d39d3705e6360bbf9bfa1601dbc484e8d02e653. Cuando la recogimos el 28 de mayo, VirusTotal mostró que 1 de 72 proveedores la marcaban.
Figura 1. Estado de detección de la muestra de archivo 47e51e82229e80a387c3cb100d39d3705e6360bbf9bfa1601dbc484e8d02e653 en VirusTotal el 28 de mayo de 2026.
Una semana después, eso subió a 7 de 70. El clúster: Microsoft Trojan:Win32/Malgent!MSR, Kaspersky HEUR:Trojan-Dropper.Win32.Dorifel.gen, Rising Dropper.Dorifel!8.31E (NUBE), Cynet (puntaje 100), Elastic (confianza moderada), Kingsoft, TrendMicro-HouseCall. Con Microsoft ahora marcando, la etiqueta de amenaza popular de VT ha cambiado a dropper.dorifel / malgent. CrowdStrike Falcon, SentinelOne, Sophos, Trellix, Palo Alto y ESET aún no lo detectan. VT lista el tipo de archivo como pedll (PE DLL) y el nombre del archivo.
