Los investigadores de seguridad cibernética han descubierto una nueva campaña de phishing dirigida por un grupo de piratería norcoreano llamado Scarcruft (también conocido como APT37) para proporcionar malware conocido como Rokrat.
La actividad ha sido llamada Operación Hankook Phantom por Seqrite Labs, y dice que el ataque parece estar dirigido a las personas asociadas con la Asociación Nacional de Investigación de Inteligencia, incluidas las cifras académicas, ex funcionarios e investigadores del gobierno.
«Es probable que los ataques tengan como objetivo robar información confidencial, establecer persistencia y llevar a cabo el espionaje», dijo el investigador de seguridad Dixit Panchal en un informe publicado la semana pasada.
El punto de partida para la cadena de ataque es un correo electrónico de phishing de lanza que contiene señuelos del boletín de la Sociedad Nacional de Investigación de Inteligencia – número 52, un boletín regular publicado por un grupo de investigación coreano que se centra en temas de inteligencia nacional, relaciones laborales, seguridad y energía.
Digital Missive incluye un archivo adjunto de archivo zip que contiene atajos de Windows (LNK) que se posan como documentos PDF. Lanza un boletín como un señuelo cuando se abre, dejando caer a Rokrat a un anfitrión infectado.
Rokrat es conocido de malware asociado con APT37 que puede recopilar información del sistema, ejecutar cualquier comando, enumerar los sistemas de archivos, capturar capturas de pantalla y descargar cargas útiles adicionales. Los datos recopilados se expanden a través de Dropbox, Google Cloud, PCloud y Yandex Cloud.
Seqrite dijo que detectó una segunda campaña donde el archivo LNK actúa como un conducto para los scripts de PowerShell. Esto ejecuta un script de lotes de Windows ofuscado responsable de la implementación de gotero, además de eliminar el documento de Microsoft Word. El binario luego realiza la siguiente carga útil de la etapa para robar datos confidenciales del host comprometido y ocultar el tráfico de red a medida que se carga el archivo de Chrome.
El documento de señuelo utilizado en este ejemplo es una declaración emitida por Kim Yeo Jung, subdirector del Departamento de Propaganda e Inteligencia del Partido de Trabajadores de Corea del Sur y rechazó los esfuerzos para conciliar SEOUL el 28 de julio.
«El análisis de esta campaña destaca que APT37 (escorruft/Inkysquid) continúa realizando ataques de phishing de lanza altamente personalizados, aprovechando cargadores LNK maliciosos, ejecución sin fuego PowerShell y mecanismos ocultos de filtración de queratina.
«Los atacantes se dirigen específicamente al sector gubernamental de Corea del Sur, instituciones de investigación y académicos, con el objetivo de los boletines de inteligencia y el espionaje a largo plazo».
El desarrollo utiliza tácticas de estilo ClickFix para engañar a los solicitantes de empleo para que aborden problemas de cámara o micrófonos al proporcionar clasificaciones de video, como un ataque detallado contra la compañía de seguridad cibernética Qianxin, que fue instalada por el infame Grupo Lázaro (también conocido como Qianxin). Los detalles de esta actividad fueron revelados previamente por Gen Digital a fines de julio de 2025.
El ataque de ClickFix ejecuta un script Visual Basic que conduce a la implementación de Beaverail, un robador de JavaScript que también puede entregar puertas traseras basadas en Python llamadas Veasiblerret. Además, el ataque allana el camino a una puerta trasera con la ejecución de comandos y las capacidades de lectura/escritura de archivos.
La divulgación sigue a las nuevas sanciones impuestas por la Oficina de Activos Extranjeros del Departamento del Tesoro de EE. UU. (OFAC) sobre dos individuos y dos entidades en el esquema de trabajadores de la tecnología de la información remota (TI) de Corea del Norte para generar ingresos ilegales para los programas de destrucción masiva y misiles balísticos de la administración.
En un informe publicado la semana pasada, Chollima Group detalló una investigación sobre grupos de trabajadores de TI relacionados con Moonstone Sleet, que rastrea como BabyLongGroup en relación con un juego Blockchain Play Aleen (P2E) llamado Defitankland.
Logan King, CTO de Defitankland, es en realidad un trabajador de TI de Corea del Norte y está siendo evaluado como una hipótesis fortalecida por el hecho de que la cuenta de GitHub de King está siendo utilizada como referencia por los trabajadores independientes ucranianos y los desarrolladores de blockchain llamados «Ivan Kovch».
«Muchos miembros estaban trabajando en un gran proyecto de criptomonedas en nombre de una compañía sombreada que anteriormente se llama ICICB (creemos que estamos en la línea del frente). Uno de los miembros que no son DPRK del clúster ejecutan la fleetidad, un mercado de delitos cibernéticos chinos, con una conexión interesante entre la zona de Detank, que anteriormente operaba en Tanzania y los antiguos trabajadores de TI.
«Nabil Amrani, CEO de Defitankland, ha trabajado previamente con Logan en otros proyectos de blockchain, pero no cree que sea responsable del desarrollo. Todo esto significa que el juego» legal «detrás de la detankzone de Moonstone Sleet fue desarrollado por los trabajadores de TI de la RPDK.
Source link
