Se ha observado que un actor de amenazas norcoreano conocido como Konni ataca a desarrolladores y equipos de ingeniería en el espacio blockchain utilizando malware PowerShell generado con herramientas de inteligencia artificial (IA).
Check Point Research dijo en un informe técnico publicado la semana pasada que la campaña de phishing se dirigió a Japón, Australia e India, destacando la expansión de los objetivos de los adversarios más allá de Corea del Sur, Rusia, Ucrania y los países europeos.
Konni ha estado activo desde al menos 2014 y se sabe que apunta principalmente a organizaciones e individuos en Corea del Sur. También se rastrea como Earth Imp, Opal Sleet, Osmium, TA406 y Vedalia.
En noviembre de 2025, el Genians Security Center (GSC) reveló una nueva escalada en el uso por parte del grupo de hackers del servicio de seguimiento de activos de Google, Find Hub, para apuntar a dispositivos Android restableciendo de forma remota los dispositivos de las víctimas y borrando sus datos personales.
Tan recientemente como este mes, se observó a Konni distribuyendo correos electrónicos de phishing que contenían enlaces maliciosos disfrazados de URL de anuncios benignos relacionados con las plataformas publicitarias de Google y Naver, eludiendo los filtros de seguridad y entregando un troyano de acceso remoto con nombre en código EndRAT.
El ataque, que se hizo pasar por una organización de derechos humanos de Corea del Norte y una institución financiera de Corea del Sur, recibió el nombre en código de «Operación Poseidón» del GSC. Este ataque también incluye el uso de sitios web de WordPress mal protegidos para la distribución de malware y la infraestructura de comando y control (C2).
Se descubrió que el mensaje de correo electrónico estaba disfrazado de notificación financiera, como una confirmación de transacción o una solicitud de transferencia bancaria, para engañar al destinatario para que descargara un archivo ZIP alojado en un sitio de WordPress. El archivo ZIP viene con un acceso directo de Windows (LNK) diseñado para ejecutar un script AutoIt disfrazado de documento PDF. El script AutoIt es un conocido malware de Konni llamado EndRAT (también conocido como EndClient RAT).
«Este ataque ha sido analizado como un incidente que efectivamente eludió el filtrado de seguridad del correo electrónico y la vigilancia del usuario a través de un vector de ataque de phishing que explotó el mecanismo de redirección de clics en anuncios utilizado dentro del ecosistema publicitario de Google», dijo el grupo de seguridad de Corea del Sur.
«Observamos que el atacante aprovechó la estructura de URL de redireccionamiento (ad.doubleclick(.)net) de un dominio utilizado para el seguimiento legítimo de clics en anuncios para atraer gradualmente a los usuarios a la infraestructura externa donde se alojaban los archivos maliciosos reales».
La última campaña documentada por Check Point imita un documento relacionado con los requisitos del proyecto y aprovecha un archivo ZIP alojado en la red de entrega de contenido (CDN) de Discord para desatar una cadena de ataque de varias etapas que realiza la siguiente serie de acciones: Se desconoce el vector de acceso inicial exacto utilizado en el ataque.
El archivo ZIP contiene un señuelo PDF y un archivo LNK. El archivo de acceso directo inicia un cargador de PowerShell integrado que extrae dos archivos adicionales, un documento señuelo de Microsoft Word y un archivo CAB, y los muestra como documentos de Word como mecanismo de distracción. El archivo de acceso directo extrae el contenido de un archivo CAB que contiene una puerta trasera de PowerShell, dos scripts por lotes y un archivo ejecutable utilizado para omitir el Control de cuentas de usuario (UAC). El primer script por lotes se utiliza para preparar el entorno y establecer la persistencia mediante una programación programada. La puerta trasera realiza sus tareas, prepara la puerta trasera para su ejecución y luego se elimina del disco para reducir la visibilidad forense. La puerta trasera de PowerShell ejecuta una serie de comprobaciones de evasión de zona de pruebas y antianálisis, procede a perfilar el sistema e intenta escalar privilegios utilizando técnicas de omisión de UAC de FodHelper. La puerta trasera realiza una limpieza de los ejecutables de omisión de UAC eliminados previamente, configura las exclusiones de Microsoft Defender para ‘C:\ProgramData’ y ejecuta un segundo lote. La puerta trasera deja caer SimpleHelp, una herramienta legítima de administración y monitoreo remoto (RMM) para acceso remoto persistente, se comunica con un servidor C2 protegido por una puerta criptográfica destinada a bloquear el tráfico que no es del navegador, envía periódicamente metadatos del host y ejecuta el código PowerShell devuelto por el servidor.
La firma de ciberseguridad dijo que hay indicios de que la puerta trasera de PowerShell se creó con la ayuda de herramientas de inteligencia artificial, citando su estructura modular, documentación legible por humanos y la presencia de comentarios en el código fuente como «# <– UUID del proyecto persistente".
«En lugar de centrarse en usuarios finales individuales, el objetivo de la campaña era establecer un punto de apoyo en el entorno de desarrollo, con el compromiso proporcionando un acceso posterior más amplio a través de múltiples proyectos y servicios», dijo Check Point. «La introducción de herramientas asistidas por IA indica un esfuerzo por acelerar el desarrollo y estandarizar el código sin dejar de confiar en métodos de entrega probados e ingeniería social».
Este hallazgo es consistente con el descubrimiento de múltiples campañas lideradas por Corea del Norte que facilitan el control remoto y el robo de datos.
Una campaña de phishing que utiliza un script codificado en JavaScript (JSE) que imita un documento de procesador de textos Hangul (HWPX) y un archivo señuelo con temática gubernamental para implementar un túnel de Visual Studio Code (VS Code) para establecer acceso remoto. Una campaña de phishing que distribuye archivos LNK disfrazados de documentos PDF para detectar entornos virtuales y de análisis de malware y lanzar un script de PowerShell que ofrece un troyano de acceso remoto llamado MoonPeak Campaign. La campaña, que se cree que fue llevada a cabo por Andariel. en 2025, apuntó a una entidad europea anónima del sector legal para entregar TigerRAT, además de comprometer el mecanismo de actualización de un proveedor de software de planificación de recursos empresariales (ERP) de Corea del Sur para distribuir tres nuevos troyanos a víctimas posteriores, incluidos StarshellRAT, JelusRAT y GopherRAT.
Según la empresa finlandesa de ciberseguridad WithSecure, el software del proveedor de ERP ha sido objeto de violaciones similares de la cadena de suministro dos veces en el pasado (en 2017 y nuevamente en 2024) para implementar familias de malware como HotCroissant y Xctdoor.
JelusRAT está escrito en C++ y admite la capacidad de recuperar complementos de un servidor C2, mientras que StarshellRAT está desarrollado en C# y admite la ejecución de comandos, la carga/descarga de archivos y la captura de capturas de pantalla. GopherRAT, por otro lado, está basado en Golang y tiene la capacidad de ejecutar comandos o binarios, extraer archivos y enumerar sistemas de archivos.
«Sus blancos y objetivos han cambiado con el tiempo, con algunas campañas persiguiendo ganancias financieras, mientras que otras se centraron en robar información de acuerdo con las necesidades de inteligencia prioritarias del régimen», dijo Mohammad Kazem Hassan Nejad, investigador de WithSecure. «Esta volatilidad resalta la flexibilidad y la capacidad del grupo para respaldar objetivos estratégicos más amplios a medida que las prioridades cambian con el tiempo».
Source link
