Ire identifica otro espécimen de LOTUSLITE

De un vistazo, el Proyecto Ire identifica una variante de LOTUSLITE que comparte TTPs (herramientas, tácticas, procedimientos) con la familia pública, pero ninguno de sus indicadores de compromiso (IOC). El agente impulsado por LLM produce un informe de comportamiento función por función sobre la muestra sin interacción del usuario para determinar si es maliciosa. El binario nombra a un actor de amenaza en texto claro; el agente se niega a atribuirlo y en su lugar se enfoca en analizar estáticamente los comportamientos. Dirigimos el Proyecto Ire, el agente autónomo de clasificación de malware de Microsoft, a una muestra de malware—sin previo aviso—y pedimos un veredicto. La muestra es una variante de LOTUSLITE, un backdoor DLL de Windows documentado recientemente por Acronis. El hash de nuestra copia no está en su lista de IOC, y hasta el 4 de junio, la mayoría de los EDRs importantes (CrowdStrike Falcon, SentinelOne, Sophos, Trellix, Palo Alto, ESET) todavía no lo detectan como malware. Ire produjo un informe de comportamiento función por función—rutina de instalación, diseño de paquetes C2, IDs de comando, mecanismo de persistencia, ofuscación—que coincide con el análisis publicado por Acronis. Una ejecución basada en descompiladores, sin antecedentes humanos. Esto es lo que la ingeniería inversa por comportamiento y agente puede lograr cuando la coincidencia de firmas y las inspecciones manuales quedan cortas. Variantes que comparten TTPs pero no indicadores de compromiso (IOC) son detectadas en lugar de escapar de las listas de firmas. La clasificación de malware novel es un dominio sin validador automático, que requiere una investigación exhaustiva y una comprensión holística de los comportamientos del software para poner de manifiesto y determinar la intención. Ire opera sin contexto: sin metadatos de origen, sin telemetría, sin un aviso de analista. Invoca descompiladores y herramientas de análisis de binarios, construye una cadena de evidencia auditable y llega a un veredicto de malicioso o benigno. La Unidad de Investigación de Amenazas (TRU) de Acronis publicó un informe sobre LOTUSLITE, un backdoor DLL entregado a través de un ZIP de temática política, instalado lateralmente a través de un lanzador renombrado de Tencent KuGou. Lo atribuyen a Mustang Panda con una confianza moderada basada en la superposición de infraestructura y la división del cargador/DLL. Buscando en VirusTotal muestras cuyo comportamiento coincidiera con el informe, encontramos una cuyo SHA-256 no aparece en la lista de IOC de Acronis. La muestra: 47e51e82229e80a387c3cb100d39d3705e6360bbf9bfa1601dbc484e8d02e653. Cuando lo recogimos el 28 de mayo, VirusTotal mostró 1 de 72 proveedores señalándolo. Una semana después, eso subió a 7 de 70. El grupo: Microsoft Trojan:Win32/Malgent!MSR, Kaspersky HEUR:Trojan-Dropper.Win32.Dorifel.gen, Rising Dropper.Dorifel!8.31E (CLOUD), Cynet (puntuación 100), Elastic (confianza moderada), Kingsoft, TrendMicro-HouseCall. Con Microsoft ahora señalándolo, la etiqueta de amenaza popular de VT ha cambiado a dropper.dorifel / malgent. CrowdStrike Falcon, SentinelOne, Sophos, Trellix, Palo Alto y ESET todavía lo ignoran. VT enumera el tipo de archivo como pedll (PE DLL) y el nombre del archivo.