El descubrimiento en mayo de 2023 de un nuevo actor amenazador patrocinado por el Estado chino, Volt Typhoon, en sistemas de telecomunicaciones en Guam y otros lugares de Estados Unidos, representa un ejemplo preocupante de LOTL en ataques potencialmente disruptivos. Microsoft descubrió que Volt Typhoon rara vez usa malware en su actividad tras penetrar en un sistema; en cambio, se basan en técnicas LOTL. Las intrusiones en Guam son preocupantes ya que sus puertos y bases serían fundamentales para cualquier respuesta militar estadounidense a una invasión o bloqueo de Taiwán. Otras víctimas son una empresa de agua en Hawái, un importante puerto de la costa oeste, al menos un oleoducto y gasoducto y un intento de penetrar la red eléctrica de Texas. La elección de objetivos por parte del actor no es consistente con el ciberespionaje tradicional. Si bien el código oculto podría interrumpir los despliegues militares estadounidenses o las operaciones de reabastecimiento, el impacto podría ser más amplio a medida que la infraestructura que sustenta las bases militares abastece las casas y negocios cercanos de los estadounidenses comunes y corrientes.
Usos del Volt Typhoon herramientas de administración de red integradas para lograr sus objetivos, incluidos los comandos de PowerShell para obtener credenciales de inicio de sesión de usuario válidas, la línea de comandos del Instrumental de administración de Windows para recopilar información sobre las unidades locales e Impacket para redirigir la salida a un archivo dentro de la víctima. Los funcionarios de la Agencia de Seguridad Nacional dicen que los dos desafíos más difíciles con estas técnicas son determinar que se ha producido un compromiso y tener confianza en que el actor fue desalojado después de la detección. Las agencias federales todavía están buscando víctimas del tifón Volt y asegurándose de eliminar las intrusiones. El director ejecutivo de Mandiant, Kevin Mandia, dice que algunas víctimas «no sabrán que están afectadas». Volt Typhoon aparentemente está tratando de mantener la persistencia de los sistemas. Jen Easterly, directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), testificó que el objetivo del Volt Typhoon de infraestructura crítica es “para garantizar que puedan incitar pánico social y el caos y para disuadir nuestra capacidad de reunir el poder militar y la voluntad civil”.
El uso de LOTL para permitir operaciones cibernéticas durante conflictos activos ya está claro en Ucrania. Los actores de amenazas rusos han explotado funcionalidades integradas del sistema o herramientas externas para realizar acciones maliciosas en sistemas comprometidos. Su uso indebido del software basado en Windows incluye el programa legítimo WinRAR, popular en la región, para archivar archivos robados. En julio de 2023, analistas de Mandiant, empresa estadounidense de ciberseguridad y filial de Google, determinaron que la Dirección Principal de Inteligencia del Estado Mayor ruso (GRU) y otros grupos de amenazas rusos estaban utilizando un libro de jugadas repetible para operaciones de alto ritmo. Después de ingresar a los sistemas aprovechando enrutadores, firewalls y servidores de correo comprometidos, utilizan herramientas legítimas de reconocimiento, movimiento lateral y robo de datos para limitar la exposición al malware antes de implementar un limpiador u otra herramienta disruptiva.
Los actores rusos han utilizado ampliamente LOTL en sus ataques a infraestructuras críticas. Por ejemplo, el grupo GRU Sandworm utilizó Impacket para crear una tarea programada de Windows o invocar un comando PowerShell codificado para ejecutar la carga útil del ransomware Prestige en sistemas de transporte y logística en Ucrania y Polonia. Sandworm también utilizó técnicas LOTL a nivel de tecnología operativa para comprometer la red energética de Ucrania, ejecutando una empresa de servicios públicos nativa para ejecutar comandos de control no autorizados que desconectaron subestaciones y provocaron un corte de energía que coincidió con ataques masivos con misiles contra infraestructura crítica. Mandiant afirmó que al utilizar técnicas LOTL, Sandworm redujo el tiempo y los recursos necesarios para realizar el ciberataque físico.
Las bandas de ransomware también utilizan técnicas LOTL para atacar sectores críticos sin preocuparse por el impacto. Por ejemplo, la banda de habla rusa LockBit 3.0 interrumpió la atención de urgencia en tres hospitales alemanes durante el fin de semana de Navidad. LockBit ha comprometido sistemas informáticos en el Puerto de Lisboa y el Puerto de Nagoya, que cerró las operaciones de contenedores durante días. LockBit se basa en programas legítimos en el cadena de ataque ransomware. Como ejemplo, LockBit usa PowerShell para ejecutar comandos para recuperar un script codificado que crea una puerta trasera en los sistemas infectados y usa el Programador de tareas de Windows para ejecutar comandos de script maliciosos en momentos o intervalos específicos. Estos scripts ayudan a mantener el acceso al sistema después de reinicios o inicios de sesión de usuarios.