Investigadores en ciberseguridad han descubierto una nueva campaña de phishing realizada por el grupo de hacking vinculado a Corea del Norte, ScarCruft (también conocido como APT37). La operación entrega una variante de malware llamada RokRAT, dirigida a personas relacionadas con la National Intelligence Research Association de Corea del Sur, incluyendo académicos, exfuncionarios gubernamentales e investigadores.

Seqrite Labs ha denominado a la operación HanKook Phantom, indicando que los atacantes probablemente buscan robar información sensible, mantener acceso a largo plazo o realizar espionaje.

Cómo funciona el ataque

La campaña comienza con correos de spear-phishing disfrazados de un boletín titulado “National Intelligence Research Society Newsletter—Issue 52”. El correo incluye un archivo ZIP con un acceso directo de Windows (LNK) que simula un PDF. Al abrirlo, el PDF actúa como señuelo mientras RokRAT se instala de manera silenciosa en el sistema de la víctima.

RokRAT, un malware vinculado a APT37, puede:

• Recopilar información del sistema
• Ejecutar comandos arbitrarios
• Enumerar archivos
• Tomar capturas de pantalla
• Descargar cargas útiles adicionales

Los datos robados se exfiltran a través de servicios en la nube como Dropbox, Google Cloud, pCloud y Yandex Cloud.

En una variante adicional, el archivo LNK entrega un script de PowerShell que, además de instalar un documento de Word señuelo, ejecuta un script por lotes de Windows ofuscado que despliega un dropper. La carga útil secundaria roba información sensible mientras oculta el tráfico de red simulando una subida de archivos de Chrome.

El documento señuelo en este caso contenía una declaración de Kim Yo Jong, subdirectora del Departamento de Publicidad e Información del Partido de los Trabajadores de Corea del Norte, rechazando los esfuerzos de reconciliación de Seúl.

Objetivos y enfoque

El análisis muestra que APT37 continúa utilizando ataques de spear-phishing altamente personalizados, cargadores LNK maliciosos, ejecución de PowerShell sin archivos y técnicas de exfiltración encubierta. Los atacantes se enfocan específicamente en sectores gubernamentales surcoreanos, instituciones de investigación y académicos con el objetivo de recolectar inteligencia y realizar espionaje a largo plazo.

Contexto y actividades relacionadas

Esta campaña coincide con otras operaciones vinculadas a Corea del Norte. Por ejemplo, el grupo Lazarus ha utilizado ataques tipo ClickFix para engañar a solicitantes de empleo e instalar malware disfrazado de actualizaciones de software de NVIDIA. Estos ataques despliegan scripts de Visual Basic que instalan malware como BeaverTail, un troyano de JavaScript, y InvisibleFerret, un backdoor basado en Python.

Recientemente, sanciones de EE. UU. han apuntado a trabajadores y organizaciones de TI norcoreanos que generan ingresos para los programas de armas del régimen. Investigaciones, como las del Chollima Group, revelan que algunos proyectos de blockchain y videojuegos supuestamente operados por empresas privadas son en realidad desarrollados por trabajadores de TI norcoreanos y luego utilizados por grupos APT de Corea del Norte.

Conclusión

La Operación HanKook Phantom demuestra la sofisticación continua de APT37, combinando ingeniería social, entrega de malware personalizada y exfiltración encubierta de datos para atacar a individuos de alto valor en Corea del Sur. Las organizaciones y los investigadores deben mantenerse vigilantes e implementar medidas de ciberseguridad robustas para mitigar estas amenazas avanzadas.

Fuente: https://thehackernews.com/2025/09/scarcruft-uses-rokrat-malware-in.html