
El actor de amenazas vinculado a Corea del Norte rastreado como APT37 ha sido vinculado a una pieza de nuevo malware denominado M2RAT en ataques dirigidos a su contraparte del sur, lo que sugiere una evolución continua de las características y tácticas del grupo.
APT37, también rastreado bajo los apodos Reaper, RedEyes, Ricochet Chollima y ScarCruft, está vinculado al Ministerio de Seguridad del Estado (MSS) de Corea del Norte a diferencia de los grupos de amenazas Lazarus y Kimsuky que forman parte de la Oficina General de Reconocimiento (RGB).
Según Mandiant, propiedad de Google, MSS tiene la tarea de “contraespionaje nacional y actividades de contrainteligencia en el extranjero”, y las campañas de ataque de APT37 reflejan las prioridades de la agencia. Históricamente, las operaciones han apuntado a individuos como desertores y activistas de derechos humanos.
“La misión principal evaluada de APT37 es la recopilación de inteligencia encubierta en apoyo de los intereses militares, políticos y económicos estratégicos de la RPDC”, dijo la firma de inteligencia de amenazas. dicho.
Se sabe que el actor de amenazas confía en herramientas personalizadas como Chinotto, RokRat, BLUELIGHT, GOLDBACKDOOR y Dolphin para recolectar información confidencial de hosts comprometidos.

“La característica principal de este caso de ataque de RedEyes Group es que utilizó una vulnerabilidad Hangul EPS y utilizó técnicas de esteganografía para distribuir códigos maliciosos”, AhnLab Security Emergency Response Center (ASEC) dicho en un informe publicado el martes.
La cadena de infección observada en enero de 2023 comienza con un documento Hangul señuelo, que explota una falla ahora parcheada en el software de procesamiento de textos (CVE-2017-8291) para activar el shellcode que descarga una imagen desde un servidor remoto.
El archivo JPEG utiliza técnicas esteganográficas para ocultar un ejecutable portátil que, cuando se inicia, descarga el implante M2RAT y lo inyecta en el proceso legítimo explorer.exe.
Si bien la persistencia se logra mediante una modificación del Registro de Windows, M2RAT funciona como una puerta trasera capaz de registrar teclas, capturar pantallas, ejecutar procesos y robar información. Al igual que Dolphin, también está diseñado para desviar datos de discos extraíbles y teléfonos inteligentes conectados.
“Es muy difícil defenderse de estos ataques APT, y se sabe que el grupo RedEyes en particular se dirige principalmente a individuos, por lo que puede ser difícil para las personas no corporativas reconocer el daño”, dijo ASEC.
Esta no es la primera vez que CVE-2017-8291 ha sido armado por actores de amenazas de Corea del Norte. A fines de 2017, se observó que Lazarus Group se dirigía a los intercambios de criptomonedas y usuarios de Corea del Sur para implementar el malware Destover, según Futuro grabado.



