Una nueva operación de spear-phishing a gran escala ha sido detectada contra funcionarios gubernamentales y personal de inteligencia de Corea del Sur. Según la firma de ciberseguridad Seqrite, los ataques están vinculados al grupo APT37, un colectivo de piratería informática patrocinado por el Estado norcoreano.

La campaña, identificada como Operación HanKook Phantom, se basó en técnicas avanzadas de phishing que aprovecharon documentos de inteligencia aparentemente legítimos para comprometer sistemas y robar información sensible.

Phishing a través de boletines de inteligencia de Seúl

En la primera oleada de ataques, APT37 empleó como señuelo el “Boletín de la Sociedad de Investigación de Inteligencia Nacional – Edición 52”. Este boletín, normalmente distribuido de manera interna a investigadores de inteligencia surcoreanos, incluye temas de seguridad nacional, geopolítica, tendencias tecnológicas (como IA) y relaciones intercoreanas.

Los atacantes distribuyeron una versión falsa en PDF del boletín, acompañada de un archivo malicioso LNK (acceso directo de Windows) con el mismo nombre. Al abrirlo, el archivo ejecutaba procesos ocultos que descargaban y ejecutaban malware en el sistema de la víctima.

El análisis de Seqrite confirmó que se desplegó RokRAT, un backdoor asociado previamente a operaciones de APT37. Este malware permite el control remoto del sistema comprometido, la exfiltración de archivos y otras actividades maliciosas sin ser detectado.

Los objetivos incluyeron académicos, investigadores y funcionarios de:

• Asociación Nacional de Investigación de Inteligencia
• Universidad Kwangwoon
• Universidad de Corea
• Instituto de Estrategia de Seguridad Nacional
• Instituto Central de Investigación Económica y Laboral
• Asociación de Seguridad Energética y Medioambiental
• Grupos de Estrategia de Integración de Corea, entre otros.

Phishing con mensajes políticos norcoreanos

Una segunda oleada de la Operación HanKook Phantom utilizó como señuelo un comunicado político atribuido a Kim Yo-jong, hermana del líder norcoreano Kim Jong-un, en el que criticaba los intentos de reconciliación de Corea del Sur y rechazaba cualquier cooperación futura.

El ataque siguió una cadena de infección similar:

• Uso de un archivo LNK malicioso para desplegar componentes ocultos.
• Ejecución de un ataque fileless con PowerShell, cargando el malware directamente en memoria.
• Exfiltración de archivos mediante solicitudes HTTP POST disfrazadas de cargas de PDF para evadir la detección.

En esta fase, los objetivos incluyeron al gobierno surcoreano, el Ministerio de Unificación, la alianza militar Corea del Sur–EE.UU., y organizaciones relacionadas con APEC.

Evolución del ciberespionaje de APT37

APT37, también conocido como InkySquid, ScarCruft, RedEyes, Group123 y Ricochet Chollima, opera desde al menos 2012. Aunque en sus inicios se centraba en Corea del Sur, el grupo ha expandido sus operaciones hacia Asia y Medio Oriente, atacando sectores como defensa, química, electrónica, automotriz y salud.

Sus principales técnicas incluyen:

• Señuelos de spear-phishing altamente personalizados
• Uso de cargadores LNK
• Ejecución fileless con PowerShell
• Mecanismos sigilosos de exfiltración diseñados para evadir defensas

Según Seqrite, la Operación HanKook Phantom evidencia la creciente sofisticación de las operaciones de ciberespionaje norcoreanas, donde APT37 continúa perfeccionando sus tácticas para mantenerse oculto, persistente y orientado al robo de datos.

Fuente: https://www.infosecurity-magazine.com/news/north-korea-apt37-spear-phishing