Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • ScarCruft de Corea del Norte implementa malware RokRAT a través de cadenas de infección de archivos LNK
  • Tecnología

ScarCruft de Corea del Norte implementa malware RokRAT a través de cadenas de infección de archivos LNK

teknomers 2 de Mayıs de 2023 (Last updated: 2 de Mayıs de 2023) 4 minutes read
ScarCruft de Corea del Norte implementa malware RokRAT a través


02 de mayo de 2023Ravie LakshmanánInteligencia de amenazas

El actor de amenazas norcoreano conocido como ScarCruft comenzó a experimentar con archivos LNK de gran tamaño como ruta de entrega para el malware RokRAT en julio de 2022, el mismo mes en que Microsoft comenzó a bloquear las macros en los documentos de Office de forma predeterminada.

“RokRAT no ha cambiado significativamente a lo largo de los años, pero sus métodos de implementación han evolucionado, ahora utiliza archivos que contienen archivos LNK que inician cadenas de infección de varias etapas”, Check Point dicho en un nuevo informe técnico.

“Esta es otra representación de una tendencia importante en el panorama de amenazas, donde tanto las APT como los ciberdelincuentes intentan superar el bloqueo de macros de fuentes no confiables”.

ScarCruft, también conocido por los nombres APT37, InkySquid, Nickel Foxcroft, Reaper, RedEyes y Ricochet Chollima, es un grupo de amenazas que se dirige casi exclusivamente a personas y entidades de Corea del Sur como parte de ataques de phishing dirigidos diseñados para ofrecer una variedad de herramientas personalizadas. .

La seguridad cibernética

El colectivo adversario, a diferencia del Grupo Lazarus o Kimsuky, es supervisado por el Ministerio de Seguridad del Estado de Corea del Norte (SMS), que se encarga de las actividades de contraespionaje nacional y contrainteligencia en el extranjero, según Mandiant.

El principal malware elegido por el grupo es RokRAT (también conocido como DOGCALL), que desde entonces se ha adaptado a otras plataformas como macOS (CloudMensis) y Android (RambleOn), lo que indica que la puerta trasera se está desarrollando y manteniendo activamente.

RokRAT y sus variantes están equipados para llevar a cabo una amplia gama de actividades como robo de credenciales, exfiltración de datos, captura de pantalla, recopilación de información del sistema, ejecución de comandos y shellcode, y gestión de archivos y directorios.

Malware RokRAT

La información recopilada, parte de la cual se almacena en forma de archivos MP3 para cubrir sus huellas, se devuelve mediante servicios en la nube como Dropbox, Microsoft OneDrive, pCloud y Yandex Cloud en un intento por disfrazar el comando y control (C2 ) comunicaciones como legítimas.

Otro malware personalizado utilizado por el grupo incluye, entre otros, Chinotto, BLUELIGHT, GOLDBACKDOOR, Dolphin y, más recientemente, M2RAT. También se sabe que utiliza malware básico como Amadey, un descargador que puede recibir comandos del atacante para descargar cargas útiles adicionales, en un intento por confundir la atribución.

El Centro de Respuesta a Emergencias de Seguridad (ASEC) de AhnLab también destacó el uso de archivos LNK como señuelos para activar las secuencias de infección la semana pasada, con los archivos que contienen comandos de PowerShell que implementan el malware RokRAT.

Si bien el cambio en el modus operandi señala los esfuerzos de ScarCruft para mantenerse al día con el cambiante ecosistema de amenazas, ha seguido aprovechando documentos de Word maliciosos basados ​​​​en macros en abril de 2023 para eliminar el malware, reflejando una cadena similar que fue reportado por Malwarebytes en enero de 2021.

PRÓXIMO SEMINARIO WEB

Aprenda a detener el ransomware con protección en tiempo real

Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.

Guardar mi asiento!

Otra ola de ataques observada a principios de noviembre de 2022, según la compañía de ciberseguridad israelí, empleó archivos ZIP que incorporaban archivos LNK para implementar el malware Amadey.

“[The LNK file] El método puede desencadenar una cadena de infección igualmente efectiva con un simple doble clic, una que es más confiable que las vulnerabilidades de n-day o las macros de Office que requieren clics adicionales para iniciarse”, dijo Check Point.

“APT37 continúa representando una amenaza considerable, lanza múltiples campañas en las plataformas y mejora significativamente sus métodos de entrega de malware”.

Los hallazgos se producen cuando Kaspersky reveló un nuevo malware basado en Go desarrollado por ScarCruft con nombre en código SidLevel que utiliza el servicio de mensajería en la nube Ably como un mecanismo C2 por primera vez y viene con “amplias capacidades para robar información confidencial de las víctimas”.

“El grupo continúa apuntando a personas relacionadas con Corea del Norte, incluidos novelistas, estudiantes académicos y también empresarios que parecen enviar fondos a Corea del Norte”, dijo la firma rusa de ciberseguridad. anotado en su Informe de tendencias APT para el primer trimestre de 2023.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Soy una celebridad EN VIVO: las leyendas de EastEnders Joe Swash y Dean Gaffney se unen al campamento cuando la estrella es brutalmente abandonada esta noche
Next: En parte gracias a De Jong, el Barcelona escapa de un nuevo paso en falso camino al título

Related Stories

Con esta nueva función sencilla, Opera quiere protegerte de sitios
  • Tecnología

Con esta nueva función sencilla, Opera quiere protegerte de sitios peligrosos.

teknomers 2 de Temmuz de 2026
Monopolio Android: Google enfrentará una multa de 4,1 mil millones
  • Tecnología

Monopolio Android: Google enfrentará una multa de 4,1 mil millones de euros

teknomers 2 de Temmuz de 2026
Galaxy Z Fold8: una nueva filtración revela su diseño amplio
  • Tecnología

Galaxy Z Fold8: una nueva filtración revela su diseño amplio en negro

teknomers 2 de Temmuz de 2026

You May Have Missed

  • General

Mercado de valores de EE. UU. bancos USPS Nasdaq festivos: ¿Está abierto el mercado de valores de EE. UU. el 3 de julio? Esto es lo que sucede con los bancos, USPS, NYSE y Nasdaq antes del Día de la Independencia

teknomers 2 de Temmuz de 2026
  • Deporte

Resultados de Wimbledon 2026: Arthur Fery avanza a la tercera ronda para mantener vivas las esperanzas británicas, pero Katie Swan queda eliminada.

teknomers 2 de Temmuz de 2026
  • Deporte

«Le Red Star tiene una aura, un potencial increíble»: el nuevo entrenador Damien Perrinelle muestra sus ambiciones

teknomers 2 de Temmuz de 2026
  • Cultura

«Lo tomé porque me gustaba el marco»: encuentra por casualidad un cuadro de 150.000 euros en la calle en Sevilla

teknomers 2 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.