Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • APT43 de Corea del Norte usa PowerShell y Dropbox en ataques cibernéticos de Corea del Sur
  • Tecnología

APT43 de Corea del Norte usa PowerShell y Dropbox en ataques cibernéticos de Corea del Sur

teknomers 13 de Şubat de 2025 (Last updated: 13 de Şubat de 2025) 4 minutes read
APT43 de Corea del Norte usa PowerShell y Dropbox en


13 de febrero de 2025Ravie LakshmananEstados Unidos

Un actor de amenaza de estado-nación con vínculos con Corea del Norte se ha relacionado con una campaña en curso dirigida a los sectores de negocios, gobierno y criptomonedas de Corea del Sur.

La campaña de ataque, doblada Profundo#unidad Por Securonix, se ha atribuido a un grupo de piratería conocido como Kimsuky, que también se rastrea bajo los nombres Apt43, Black Banshee, Emerald Ship, Sparkling Piscis, Springtail, Ta427 y Velvet Chollima.

Ciberseguridad

“Aprovechando los señuelos de phishing a medida escritos en coreano y disfrazados como documentos legítimos, los atacantes se infiltraron con éxito entornos específicos”, los investigadores de seguridad den iuzvyk y Tim Peck dicho En un informe compartido con The Hacker News, describiendo la actividad como una “operación sofisticada y de varias etapas”.

Los documentos Decoy, enviados a través de correos electrónicos de phishing como archivos .hwp, .xlsx y .pptx, se disfrazan de registros de trabajo, documentos de seguro y archivos relacionados con cripto para engañar a los destinatarios para que los abran, lo que desencadena el proceso de infección.

La cadena de ataque es notable por su gran dependencia de los scripts de PowerShell en varias etapas, incluida la entrega de carga útil, el reconocimiento y la ejecución. También se caracteriza por el uso de Dropbox para la distribución de la carga útil y la exfiltración de datos.

Ataques cibernéticos de Corea del Sur

Todo comienza con un archivo ZIP que contiene un solo archivo de acceso directo de Windows (.lnk) que se disfraza de un documento legítimo, que, cuando se extrae y se lanzó, desencadena la ejecución del código PowerShell para recuperar y mostrar un documento de señuelo alojado en Dropbox, mientras que sigilosamente Establecer persistencia en el host de Windows a través de una tarea programada llamada “ChromeUpdatetaskmachine”.

Uno de esos documentos de señuelo, escrito en coreano, se refiere a un plan de trabajo de seguridad para operaciones de montacargas en un centro de logística, profundizando en el manejo seguro de carga pesada y describiendo formas de garantizar el cumplimiento de los estándares de seguridad en el lugar de trabajo.

El script PowerShell también está diseñado para contactar la misma ubicación de Dropbox para obtener otro script de PowerShell que es responsable de recopilar y exfiltrar información del sistema. Además, deja caer un tercer script PowerShell que finalmente es responsable de ejecutar un ensamblaje de .NET desconocido.

“El uso de la autenticación basada en token OAuth para las interacciones de la API de Dropbox permitió una exfiltración perfecta de los datos de reconocimiento, como la información del sistema y los procesos activos, a las carpetas predeterminadas”, dijeron los investigadores.

Ciberseguridad

“Esta infraestructura basada en la nube demuestra un método efectivo pero sigiloso para alojar y recuperar las cargas útiles, sin pasar por alto las listas de bloques de IP o dominio tradicionales. Además, la infraestructura parecía dinámica y de corta duración, como se evidencia por la rápida eliminación de enlaces clave después de las etapas iniciales de las etapas iniciales de las Ataque, una táctica que no solo complica el análisis, sino que también sugiere que los atacantes monitorean activamente sus campañas para la seguridad operativa “.

Securonix dijo que fue capaz de aprovechar los tokens OAuth para obtener información adicional sobre la infraestructura del actor de amenaza, encontrando evidencia de que la campaña puede haber estado en marcha desde septiembre del año pasado.

“A pesar de la etapa final faltante, el análisis destaca las técnicas sofisticadas empleadas, incluida la ofuscación, la ejecución sigilosa y el procesamiento dinámico de archivos, que demuestran la intención del atacante de evadir la detección y complicar la respuesta de incidentes”, concluyeron los investigadores.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Enciende tu televisor y verás una lágrima: ¿Qué tan auténticas son las duchas que lloran de personas flamencas famosas?
Next: 🔴 LiveBlog: Ajax a la cabeza en los fanáticos de Bruselas y AZ se están preparando para el partido cargado

Related Stories

Este verano, el mismo gigabyte en roaming fuera de la
  • Tecnología

Este verano, el mismo gigabyte en roaming fuera de la UE puede costar de 2 hasta 13 000 euros según su operador.

teknomers 9 de Temmuz de 2026
Este aspirador inalámbrico es perfecto para recoger pelos de animales
  • Tecnología

Este aspirador inalámbrico es perfecto para recoger pelos de animales y está disponible por 150€ menos.

teknomers 9 de Temmuz de 2026
¡Sorpresa! Netflix busca relanzar las pruebas gratuitas
  • Tecnología

¡Sorpresa! Netflix busca relanzar las pruebas gratuitas

teknomers 9 de Temmuz de 2026

You May Have Missed

Goles en fase de eliminación directa, 100 veces decisivo: Kylian
  • Deporte

Goles en fase de eliminación directa, 100 veces decisivo: Kylian Mbappé continúa su cosecha de récords

teknomers 9 de Temmuz de 2026
  • Cultura

Audiencias TV: incluso sin fútbol, M6 en cabeza gracias a los «Mousquetaires» con François Civil

teknomers 9 de Temmuz de 2026
  • General

Lecciones de vida: Proverbio Español del Día: “El que reparte, al final se queda con… — Lecciones de vida sobre generosidad, compartir, responsabilidad, conexión humana y por qué lo que se da, regresa.

teknomers 9 de Temmuz de 2026
Este verano, el mismo gigabyte en roaming fuera de la
  • Tecnología

Este verano, el mismo gigabyte en roaming fuera de la UE puede costar de 2 hasta 13 000 euros según su operador.

teknomers 9 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.