JeielLimaMiranda, você consegue reverter qualquer arquivo com conteúdo suspeito? E se o pacote zip está encriptado com senha?

Assim como você, já tive acesso a uma ou outra dessas ameaças quando procurei entender o funcionamento de payloads de algumas CVEs. Para determinadas vulnerabilidades, publicam todo pacote junto com a análise construída (Prova de Conceito). As formas mais incomuns para esconder esses exploits de antivirus são, por exemplo:

• pacotes em Base64/Base32 (ou outra base) codificado várias vezes com reversão da sequência de bytes;
• "soma" (XOR) de resultados de uma função determinística aos valores inteiros de bytes, misturando-os;
• espalhamento de bits em posições específicas numa imagem;
• vetores de bytes hardcoded como tabelas de constantes para tradução;
• e a lista de criatividades segue...

Hoje, como as evidências para investigação ainda importam, os atacantes criam apenas um loader não malicioso para diminuir os rastros. Assim que esse loader certifica-se de seus poderes, baixa o payload de um local remoto (de algum site legítimo já infectado). Cara, e esse local pode ser qualquer um que não limita conteúdo ou o descaracteriza (marcas dagua, por exemplo). Se usou AES para encriptar o pacote, baixa a chave de algum lugar e é praticamente impossível, nesta época, quebrar o AES. Isso dificulta, em parte, reproduzir o ataque por completo para entender o funcionamento caso esses "depósitos distribuidos" na nuvem desapareçam. Se o loader for "genérico", permite carregar diferentes tipos de ameaças. É muita criatividade para um fim nada bom.