El actor de amenaza de Corea del Norte se atribuye a una campaña coordinada de Cyberspy dirigida a misiones diplomáticas en sus homólogos del sur entre marzo y julio de 2025.
La actividad aparece en forma de al menos 19 correos electrónicos de pesca de lanza, con el objetivo de invitar a invitaciones, cartas y eventos oficiales, hacerse pasar por contactos diplomáticos de confianza destinados a seducir al personal de la embajada y a los funcionarios del Ministerio de Asuntos Exteriores.
«Los atacantes usaron GitHub, que generalmente se conoce como la plataforma de desarrollador legítimo, como un canal secreto de comando y control», dijeron los investigadores de Trellix Pham Duy Phuc y Alex Lanstein.
Se ha observado que las cadenas de infección se basan en soluciones confiables de almacenamiento en la nube como Dropbox y Daum Cloud, servicios en línea del conglomerado de Internet de Corea del Sur Kakao Corporation.
La campaña está calificada como el trabajo de un grupo de piratería norcoreano llamado Kimsky. Kimsky se vinculó recientemente a un ataque de phishing que emplea a Github como el stager de la rata Xeno conocida como Moon Peak. A pesar de la infraestructura y la superposición táctica, hay indicios de que los ataques de phishing coincidirán con los operativos con sede en China.
Cada mensaje de correo electrónico de Trellix está cuidadosamente diseñado para verse legítimo, a menudo invocando diplomáticos y funcionarios reales, y tentadores de destinatarios a abrir archivos maliciosos protegidos por contraseña que alojan en Dropbox, Google Drive o DAUM. El mensaje está escrito en coreano, inglés, persa, árabe, francés y ruso.
«El contenido del phishing de lanza se elaboró cuidadosamente para imitar las comunicaciones diplomáticas legales», dijo Trelix. «Muchos correos electrónicos incluyeron firmas oficiales, términos diplomáticos y referencias a eventos reales (como cumbres, foros o reuniones)».
«Los atacantes se hicieron pasar por entidades de confianza (embajadas, ministerios, organizaciones internacionales) y tácticas de Kimsky a largo plazo. Aumentaron la credibilidad al tiempo estratégicamente junto con eventos diplomáticos reales».
Residen dentro del archivo ZIP se encuentra un acceso directo de Windows (LNK) que falsifica un documento PDF, inicia una ejecución de código de PowerShell, que ejecuta una carga útil integrada, llegó a GitHub para obtener el siguiente malware de la etapa y estableciendo persistencia a través de tareas programadas. Paralelamente, la víctima se mostrará con el documento.
Este script está diseñado para recopilar información del sistema y extender los detalles a un repositorio privado de GitHub controlado por el atacante, pero al mismo tiempo, recupera cargas útiles adicionales al analizar el contenido del archivo de texto del repositorio («onf.txt») para extraer la url dropbox que aloja el trojano de luna pico.
«Simplemente actualizar el Onf.txt del repositorio (apuntando a un nuevo archivo de Dropbox) permite al operador girar la carga útil a la máquina infectada», explicó Trellix.
«También practicaron una giro de infraestructura ‘rápidamente’. Los datos de registro sugieren que la carga útil OFX.TXT se actualizará varias veces en una hora para implementar malware y eliminar trazas después de su uso.
Curiosamente, el análisis basado en el tiempo de las actividades de los atacantes de las compañías de ciberseguridad proviene principalmente de zonas horarias que coinciden con China, con menos proporciones consistentes con Corea del Sur. Para agregar a la trama, se observó una «suspensión perfecta de tres días» a principios de abril de 2025, coincidiendo con las vacaciones nacionales de China, pero no en las vacaciones de Corea del Norte o del Sur.
Esto aumenta la probabilidad de que una campaña que refleje el ritmo operativo de China mientras opera con motivos junto con Corea del Norte es el resultado de.
Los agentes norcoreanos que trabajan desde el territorio de China imitan las operaciones chinas adecuadas que imitan las técnicas de Kimsky, o los esfuerzos de colaboración para aprovechar los recursos chinos para la investigación de inteligencia de Corea del Norte
Como los actores cibernéticos de Corea del Norte están frecuentemente estacionados en China y Rusia, como se observa en el caso de los esquemas de fraude de los trabajadores de la tecnología de la información remota (TI), Trelix ha declarado centralmente que los operadores se extienden desde China o son culturalmente chinos.
«Es probable que el uso de los servicios e infraestructura de Corea del Sur tenga la intención de mezclarse con la red coreana», dijo Trellix. «Operar desde los espacios IP en China y Rusia, mientras que se dirige a Corea del Sur es una característica de Kimsky que se sabe que usa servicios coreanos para un tráfico legalmente oscuro».
Los trabajadores de TI de N.Se son impregnados por 100 empresas
La divulgación se produce cuando CrowdStrike reveló que ha identificado más de 320 incidentes en los últimos 12 meses. Allí, los norcoreanos que se infiltran en los trabajadores de TI remotos se infiltraron en las empresas para generar ingresos ilegales para la administración, un salto del 220% desde el año pasado.
Se cree que rastreados y los famosos Cholima y Jasper, se cree que los esquemas de trabajadores de TI utilizan asistentes de codificación de inteligencia artificial (Genai), como Microsoft Copilot, VSCodium y herramientas de traducción para ayudar con tareas diarias y responden a mensajes y correos electrónicos instantáneos. También podría hacer tres o cuatro trabajos al mismo tiempo.
Los componentes clave de estos negocios incluyen reclutar personas para administrar granjas portátiles, incluidos los bastidores de computadora portátiles corporativos que usan herramientas que lo hacen físicamente ubicado en el país donde se basa la compañía, para usar su trabajo de forma remota.
«Los conocidos trabajadores de TI de Chollima usan Genai para crear currículums atractivos para las empresas, usan la tecnología de Fark en tiempo real para encubrir su verdadera identidad en las entrevistas en video y aprovechar las herramientas de código AI para ayudarlos con sus tareas laborales.
Además, la filtración de 1.389 direcciones de correo electrónico vinculadas a los trabajadores de TI reveló que 29 de 63 proveedores de servicios de correo electrónico únicos son herramientas en línea, lo que permite a los usuarios crear direcciones de correo electrónico temporales o desechables y crear otras seis direcciones de correo electrónico. Casi el 89% de las direcciones de correo electrónico son cuentas de Gmail.
«Todas las cuentas de Gmail están vigiladas con Google Authenticator, 2FA y recuperación de correo de respaldo», dijo el investigador de seguridad Rakesh Krishnan. «Muchos nombres de usuario incluyen términos como desarrollador, código, codificador, tecnología, software y más, lo que indica el enfoque de tecnología o programación».
Algunas de estas direcciones de correo electrónico existen en la herramienta de edición de fotos AI Corteut.pro Fuencia de la base de datos de usuarios, lo que sugiere el uso potencial del uso del software para modificar imágenes en perfiles de medios de software o documentos de identificación.
Source link
