Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • APT43 de Corea del Norte usa PowerShell y Dropbox en ataques cibernéticos de Corea del Sur
  • Tecnología

APT43 de Corea del Norte usa PowerShell y Dropbox en ataques cibernéticos de Corea del Sur

teknomers 13 de Şubat de 2025 (Last updated: 13 de Şubat de 2025) 4 minutes read
APT43 de Corea del Norte usa PowerShell y Dropbox en


13 de febrero de 2025Ravie LakshmananEstados Unidos

Un actor de amenaza de estado-nación con vínculos con Corea del Norte se ha relacionado con una campaña en curso dirigida a los sectores de negocios, gobierno y criptomonedas de Corea del Sur.

La campaña de ataque, doblada Profundo#unidad Por Securonix, se ha atribuido a un grupo de piratería conocido como Kimsuky, que también se rastrea bajo los nombres Apt43, Black Banshee, Emerald Ship, Sparkling Piscis, Springtail, Ta427 y Velvet Chollima.

Ciberseguridad

“Aprovechando los señuelos de phishing a medida escritos en coreano y disfrazados como documentos legítimos, los atacantes se infiltraron con éxito entornos específicos”, los investigadores de seguridad den iuzvyk y Tim Peck dicho En un informe compartido con The Hacker News, describiendo la actividad como una “operación sofisticada y de varias etapas”.

Los documentos Decoy, enviados a través de correos electrónicos de phishing como archivos .hwp, .xlsx y .pptx, se disfrazan de registros de trabajo, documentos de seguro y archivos relacionados con cripto para engañar a los destinatarios para que los abran, lo que desencadena el proceso de infección.

La cadena de ataque es notable por su gran dependencia de los scripts de PowerShell en varias etapas, incluida la entrega de carga útil, el reconocimiento y la ejecución. También se caracteriza por el uso de Dropbox para la distribución de la carga útil y la exfiltración de datos.

Ataques cibernéticos de Corea del Sur

Todo comienza con un archivo ZIP que contiene un solo archivo de acceso directo de Windows (.lnk) que se disfraza de un documento legítimo, que, cuando se extrae y se lanzó, desencadena la ejecución del código PowerShell para recuperar y mostrar un documento de señuelo alojado en Dropbox, mientras que sigilosamente Establecer persistencia en el host de Windows a través de una tarea programada llamada “ChromeUpdatetaskmachine”.

Uno de esos documentos de señuelo, escrito en coreano, se refiere a un plan de trabajo de seguridad para operaciones de montacargas en un centro de logística, profundizando en el manejo seguro de carga pesada y describiendo formas de garantizar el cumplimiento de los estándares de seguridad en el lugar de trabajo.

El script PowerShell también está diseñado para contactar la misma ubicación de Dropbox para obtener otro script de PowerShell que es responsable de recopilar y exfiltrar información del sistema. Además, deja caer un tercer script PowerShell que finalmente es responsable de ejecutar un ensamblaje de .NET desconocido.

“El uso de la autenticación basada en token OAuth para las interacciones de la API de Dropbox permitió una exfiltración perfecta de los datos de reconocimiento, como la información del sistema y los procesos activos, a las carpetas predeterminadas”, dijeron los investigadores.

Ciberseguridad

“Esta infraestructura basada en la nube demuestra un método efectivo pero sigiloso para alojar y recuperar las cargas útiles, sin pasar por alto las listas de bloques de IP o dominio tradicionales. Además, la infraestructura parecía dinámica y de corta duración, como se evidencia por la rápida eliminación de enlaces clave después de las etapas iniciales de las etapas iniciales de las Ataque, una táctica que no solo complica el análisis, sino que también sugiere que los atacantes monitorean activamente sus campañas para la seguridad operativa “.

Securonix dijo que fue capaz de aprovechar los tokens OAuth para obtener información adicional sobre la infraestructura del actor de amenaza, encontrando evidencia de que la campaña puede haber estado en marcha desde septiembre del año pasado.

“A pesar de la etapa final faltante, el análisis destaca las técnicas sofisticadas empleadas, incluida la ofuscación, la ejecución sigilosa y el procesamiento dinámico de archivos, que demuestran la intención del atacante de evadir la detección y complicar la respuesta de incidentes”, concluyeron los investigadores.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Enciende tu televisor y verás una lágrima: ¿Qué tan auténticas son las duchas que lloran de personas flamencas famosas?
Next: 🔴 LiveBlog: Ajax a la cabeza en los fanáticos de Bruselas y AZ se están preparando para el partido cargado

Related Stories

Este aspirador inalámbrico es perfecto para recoger pelos de animales
  • Tecnología

Este aspirador inalámbrico es perfecto para recoger pelos de animales y está disponible por 150€ menos.

teknomers 9 de Temmuz de 2026
¡Sorpresa! Netflix busca relanzar las pruebas gratuitas
  • Tecnología

¡Sorpresa! Netflix busca relanzar las pruebas gratuitas

teknomers 9 de Temmuz de 2026
Pass Ulys Classic, telepeaje con 12 meses gratis este verano
  • Tecnología

Pass Ulys Classic, telepeaje con 12 meses gratis este verano

teknomers 9 de Temmuz de 2026

You May Have Missed

  • Deporte

Francia-Marruecos (2-0): las calificaciones de los Bleus con Koné omnipresente y Dembélé decisivo

teknomers 9 de Temmuz de 2026
  • Cultura

«Tuve que guardar el secreto durante meses»: Alison Arngrim regresa en «La pequeña casa en la pradera»

teknomers 9 de Temmuz de 2026
  • General

La calificación crediticia de Harley-Davidson es rebajada a “basura” por S&P

teknomers 9 de Temmuz de 2026
  • Deporte

Copa del Mundo 2026: Erling Haaland de Noruega dice que la presión está sobre Inglaterra antes del cuartos de final

teknomers 9 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.