Ire identifica una nueva variante de LOTUSLITE

Project Ire, el agente autónomo de Microsoft, identifica una variante de LOTUSLITE que evade firmas. Conoce la detección basada en comportamientos.

13 jun 2026 • 5 min read • Q2BSTUDIO Team

Cómo detectar malware sin firmas con IA

En el vertiginoso mundo de la ciberseguridad, la detección de malware ha dependido históricamente de listas de indicadores de compromiso (IOC) y firmas. Sin embargo, conforme las amenazas evolucionan, los atacantes aprenden a modificar ligeramente sus herramientas para eludir estos mecanismos. Un claro ejemplo es la reciente identificación de una nueva variante de LOTUSLITE, un backdoor en formato DLL que, aunque comparte tácticas, técnicas y procedimientos (TTP) con la familia pública, no presenta ninguno de los IOC conocidos. Este hallazgo, realizado mediante un agente autónomo basado en inteligencia artificial, demuestra cómo los enfoques tradicionales están siendo superados por sistemas capaces de analizar el comportamiento del software a nivel de función, sin depender de coincidencias textuales ni de metadatos previos.

La muestra analizada, cuyo hash no figuraba en las listas de IOC de Acronis, logró evadir durante días la detección de los principales sistemas EDR del mercado, como CrowdStrike Falcon, SentinelOne, Sophos, Trellix, Palo Alto y ESET. Solo tras un análisis conductual detallado, el agente pudo determinar su naturaleza maliciosa. Este proceso de ingeniería inversa estática, impulsado por modelos de lenguaje de gran escala (LLM), es capaz de descomponer cada función del binario, reconstruir el flujo de comunicación con el servidor de mando y control, identificar los mecanismos de persistencia y revelar las técnicas de ofuscación empleadas. Todo ello sin intervención humana, generando un informe reproducible y auditable.

Para las empresas que buscan protegerse frente a estas amenazas, contar con soluciones de ciberseguridad avanzadas es cada vez más crítico. En Q2BSTUDIO ofrecemos servicios de ciberseguridad y pentesting que integran análisis conductuales y pruebas de penetración para identificar vulnerabilidades que los métodos basados únicamente en firmas podrían pasar por alto. La capacidad de adaptarse a variantes de malware como LOTUSLITE exige un enfoque dinámico, donde la inteligencia artificial y los agentes autónomos desempeñan un papel central.

La familia LOTUSLITE, atribuida con moderada confianza al grupo Mustang Panda, utiliza un cargador DLL que se inyecta a través de un launcher legítimo de Tencent KuGou, y establece comunicación C2 mediante un protocolo binario personalizado con un DWORD mágico. La variante detectada, sin embargo, emplea nombres de archivo y rutas de instalación distintos, así como un valor mágico diferente, lo que demuestra la habilidad de los actores de amenaza para modificar aspectos superficiales sin alterar el comportamiento subyacente. Incluso incluye una cadena de texto literal con el nombre del grupo, lo que podría ser una pista falsa o un artefacto del desarrollador, pero que no debe sesgar el análisis.

Este tipo de retos pone de manifiesto la importancia de contar con infraestructuras cloud robustas y flexibles para desplegar sistemas de detección y respuesta. Desde Q2BSTUDIO ofrecemos servicios cloud AWS y Azure que permiten escalar soluciones de seguridad basadas en inteligencia artificial, procesando grandes volúmenes de muestras y telemetría sin los cuellos de botella de los entornos locales. Además, la integración de inteligencia artificial para empresas facilita la automatización de tareas rutinarias, como el análisis de binarios, liberando a los equipos de seguridad para centrarse en amenazas más complejas.

La aplicación de agentes de IA en ciberseguridad no se limita a la clasificación de malware. Estos agentes pueden configurarse para realizar análisis conductuales completos sin contexto previo, como el que demostró Project Ire. En lugar de depender de datos de origen o telemetría externa, el agente invoca descompiladores y herramientas de análisis binario para construir una cadena de evidencia que culmina en un veredicto de benigno o malicioso. Este enfoque resulta especialmente valioso cuando se enfrentan muestras que, aunque comparten TTP con familias conocidas, carecen de IOC reconocibles, evitando así falsos negativos que podrían comprometer la seguridad de la organización.

Para las empresas que desean implementar soluciones de análisis avanzado, el desarrollo de aplicaciones a medida se convierte en un habilitador fundamental. En Q2BSTUDIO desarrollamos aplicaciones a medida y software a medida que se adaptan a los requisitos específicos de cada cliente, ya sea para integrar motores de IA, automatizar flujos de trabajo de seguridad o conectar con plataformas de inteligencia de negocio como Power BI. La capacidad de visualizar y correlacionar datos de amenazas a través de dashboards personalizados permite a los equipos de seguridad tomar decisiones informadas en tiempo real.

El caso de LOTUSLITE subraya la necesidad de evolucionar hacia metodologías de detección más inteligentes. La firma tradicional ya no es suficiente cuando los atacantes pueden modificar hashes, nombres de archivos o rutas sin alterar la funcionalidad maliciosa. La combinación de agentes autónomos basados en LLM con infraestructuras cloud escalables y servicios de inteligencia de negocio ofrece una defensa en capas que se anticipa a las amenazas. En Q2BSTUDIO, a través de nuestros servicios de inteligencia artificial para empresas y agentes IA, ayudamos a las organizaciones a integrar estas capacidades de forma práctica y efectiva, potenciando su postura de seguridad sin añadir complejidad operativa.

Asimismo, la correcta gestión de la información de amenazas puede apoyarse en herramientas como Power BI, que permiten transformar datos brutos de detección en cuadros de mando interactivos. Nuestros servicios de inteligencia de negocio y Power BI facilitan la creación de paneles que monitoricen la efectividad de las reglas de detección, el tiempo de respuesta ante incidentes y la evolución de las campañas de malware. Esto resulta crucial cuando se opera en entornos donde cada minuto cuenta y la visibilidad es la principal defensa.

En definitiva, la detección de la variante de LOTUSLITE mediante un agente de IA demuestra que el futuro de la ciberseguridad pasa por sistemas que entienden el comportamiento, no solo las firmas. Las empresas que apuesten por modelos de análisis conductual, apoyados en infraestructuras cloud y aplicaciones a medida, estarán mejor preparadas para enfrentar amenazas emergentes. En Q2BSTUDIO ofrecemos el conocimiento y las herramientas necesarias para abordar estos desafíos, combinando tecnología de vanguardia con un enfoque práctico y orientado a resultados.

A BREAK?

Play for a moment before you go

OUR SERVICES

How we can help you

Artificial intelligence

AI agents, chatbots, and intelligent assistants that automate tasks and serve your customers 24/7 to improve the efficiency of your business.

More info

Software Development

Web, mobile, and desktop applications, intranets, e-commerce, SaaS, and management platforms designed for your company's specific needs.

More info

Cloud services

Migration, infrastructure, managed hosting, high availability, and security on Microsoft Azure and Amazon Web Services to help your business scale without limits.

More info

Cybersecurity and pentesting

Security audits, penetration testing and protection of applications, data and infrastructure on-premise and cloud, with ethical hacking and regulatory compliance.

More info

Business Intelligence

Dashboards and data analysis with Power BI: we integrate your sources, design dashboards and KPIs and turn your data into decisions.

More info

Process automation

We automate repetitive tasks and connect your applications with n8n, Power Automate, Make, and RPA, eliminating manual work and increasing productivity.

More info

Training for Companies

We train your teams in technology with criteria: web development, databases, Git, best practices and security, automation with n8n, artificial intelligence for companies and creation of AI solutions with Azure AI Foundry.

More info

Code Auditing

We audit the code that you, your team or an AI create: we tell you what is good and what to improve, we secure it and make it ready for production, web or app.

More info

AI Image Generation

We create for you the images that your business needs with artificial intelligence: product, networks, advertising, illustration and avatars. You tell us what you want and we deliver it ready to use.

More info

AI Video Generation

We create videos with artificial intelligence for you: promotional, networking, virtual presenters, dubbing and animations. You tell us the idea and we will deliver it assembled and ready to publish.

More info

AI Conversational Avatars

We create conversational avatars with AI – digital humans with a face and voice – that serve your customers and teams with the knowledge of your company, on your website, interactive monitors, WhatsApp or Teams.

More info

Online Marketing and AI

Google Ads, Meta Ads, LinkedIn Ads and AI Engine Positioning (GEO/AEO): we attract customers and make your brand appear where they search for you, also on ChatGPT, Gemini and Perplexity.

More info

Do you have a project in mind?

Tell us your vision and we'll turn it into a software solution. Whatever the scope, we make your idea real.

Live Chat