El actor de amenazas vinculado a Corea del Norte conocido como Kimsuky ha sido vinculado a un nuevo conjunto de ataques dirigidos contra personal universitario, investigadores y profesores con fines de recopilación de inteligencia.
Empresa de ciberseguridad Resilience dicho Identificó la actividad a fines de julio de 2024 después de observar un error de seguridad de la operación (OPSEC) cometido por los piratas informáticos.
Kimsuky, también conocido por los nombres APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail y Velvet Chollima, es solo uno de los innumerables equipos cibernéticos ofensivos que operan bajo la dirección del gobierno y el ejército de Corea del Norte.
También es muy activo y a menudo aprovecha campañas de phishing como punto de partida para ofrecer un conjunto cada vez mayor de herramientas personalizadas para realizar reconocimientos, robar datos y establecer acceso remoto persistente a hosts infectados.
Los ataques también se caracterizan por el uso de hosts comprometidos como infraestructura de prueba para implementar una versión ofuscada del shell web de Green Dinosaur, que luego se utiliza para realizar operaciones con archivos. El uso del shell web por parte de Kimuksy fue previamente destacado por el investigador de seguridad blackorbird en mayo de 2024.
Luego se abusa del acceso proporcionado por Green Dinosaur para cargar páginas de phishing prediseñadas que están diseñadas para imitar portales de inicio de sesión legítimos de Naver y varias universidades como la Universidad Dongduk, la Universidad de Corea y la Universidad Yonsei con el objetivo de capturar sus credenciales.
Luego, las víctimas son redirigidas a otro sitio que apunta a un documento PDF alojado en Google Drive que pretende ser una invitación al Foro de Agosto del Instituto Asan de Estudios Políticos.
«Además, en los sitios de phishing de Kimsuky, hay un kit de herramientas de phishing no específico para recopilar cuentas de Naver», dijeron los investigadores de Resilience.
«Este kit de herramientas es un proxy rudimentario similar a Evilginx para robar cookies y credenciales de los visitantes y muestra ventanas emergentes que indican a los usuarios que deben iniciar sesión nuevamente porque se interrumpió la comunicación con el servidor».
El análisis también ha arrojado luz sobre una costumbre Correo PHP herramienta utilizada por Kimsuky llamada SendMail, que se emplea para enviar correos electrónicos de phishing a los objetivos que utilizan cuentas de Gmail y Daum Mail.
Para combatir la amenaza, se recomienda que los usuarios habiliten la autenticación multifactor (MFA) resistente al phishing y examinen las URL antes de iniciar sesión.