El actor de amenaza vinculado a Corea del Norte conocido como Konni APT se ha atribuido a una campaña de phishing dirigida a entidades gubernamentales en Ucrania, lo que indica la orientación de la amenaza del actor más allá de Rusia.
La firma de seguridad empresarial, Proofpoint, dijo que el objetivo final de la campaña es recopilar inteligencia sobre la “trayectoria de la invasión rusa”.
“El interés del grupo en Ucrania sigue la orientación histórica de las entidades gubernamentales en Rusia para fines de recolección de inteligencia estratégica”, los investigadores de seguridad Greg Lesnewich, Saher Naumaan y Mark Kelly dicho En un informe compartido con The Hacker News.
Konni Apt, también conocido como Opal Sleet, Osmium, TA406 y Vedaliaes un grupo de ciber espionaje que tiene una historia de entidades de orientación en Corea del Sur, Estados Unidos y Rusia. Está operativo desde al menos 2014.
Las cadenas de ataque montadas por el actor de amenaza a menudo implican el uso de correos electrónicos de phishing para distribuir malware llamado Konni Rat (también conocido como Updog) y redirigir a los destinatarios a las páginas de recolección de credenciales. Proofpoint, en un análisis del grupo de amenazas publicado en noviembre de 2021, evaluó que TA406 es uno de varios actores que constituyen la actividad rastreada públicamente como Kimsuky, Thallium y Konni Group.
El último conjunto de ataques documentados por la compañía de seguridad cibernética implica el uso de correos electrónicos de phishing que se hacen pasar por un becario ficticio en un grupo de expertos llamado Royal Institute of Strategic Studies, que también es una organización inexistente.
Los mensajes de correo electrónico contienen un enlace a un archivo RAR protegido por contraseña que está alojado en el servicio Mega Cloud. Abrir el archivo RAR utilizando una contraseña mencionada en el cuerpo del mensaje lanza una secuencia de infección que está diseñada para realizar un reconocimiento extenso de las máquinas comprometidas.
Específicamente, el presente dentro del archivo RAR es un archivo CHM que muestra contenido señuelo relacionado con el ex líder militar ucraniano Valeriy Zaluzhnyi. Si la víctima hace clic en cualquier lugar de la página, se ejecuta un comando PowerShell integrado dentro del HTML para comunicarse con un servidor externo y descargar una carga útil de PowerShell de próxima etapa.
El script PowerShell recientemente lanzado es capaz de ejecutar varios comandos para recopilar información sobre el sistema, codificarla utilizando Base64-Ecoding y enviarla al mismo servidor.
“El actor envió múltiples correos electrónicos de phishing en días consecutivos cuando el objetivo no hizo clic en el enlace, preguntando al objetivo si había recibido los correos electrónicos anteriores y si descargarían los archivos”, dijeron los investigadores.
Proofpoint dijo que también observó que un archivo HTML se distribuye directamente como un archivo adjunto a los mensajes de phishing. En esta variación del ataque, se instruye a la víctima que haga clic en un enlace incrustado en el archivo HTML, lo que resulta en la descarga de un archivo zip que incluye un PDF benigno y un archivo de acceso directo de Windows (LNK).
Cuando se ejecuta el LNK, ejecuta PowerShell codificado Base64 para soltar un archivo codificado JavaScript llamado “themes.jse” utilizando un script de Visual Basic. El malware JSE, a su vez, contacta una URL controlada por el atacante y ejecuta la respuesta del servidor a través de PowerShell. Actualmente no se conoce la naturaleza exacta de la carga útil.
Además, TA406 ha sido visto intentando cosechar credenciales enviando mensajes falsos de alerta de seguridad de Microsoft a entidades gubernamentales ucranianas de cuentas de protones, advirtiéndoles sobre una actividad de inicio de sesión sospechosa de direcciones IP ubicadas en los Estados Unidos e instándolas a verificar el inicio de sesión visitando un enlace.
Si bien la página de recolección de credenciales no se ha recuperado, el mismo dominio comprometido Se dice que se utilizó en el pasado para recopilar información de inicio de sesión de Naver.
“Estas campañas de recolección de credenciales tuvieron lugar antes de los intentos de implementaciones de malware y se dirigieron a algunos de los mismos usuarios más tarde dirigidos a la campaña de entrega HTML”, dijo Proofpoint. “TA406 es muy probable que recolecte inteligencia para ayudar al liderazgo de Corea del Norte a determinar el riesgo actual para sus fuerzas que ya están en el teatro, así como la probabilidad de que Rusia solicite más tropas o armamentos”.
“A diferencia de los grupos rusos que probablemente han tenido la tarea de recopilar información táctica en el campo de batalla y la orientación de las fuerzas ucranianas in situ, TA406 se ha centrado típicamente en esfuerzos más estratégicos de recolección de inteligencia política”.
La divulgación se produce como ha sido el grupo Konni vinculado a una sofisticada campaña de malware de múltiples etapas dirigidas a entidades en Corea del Sur con archivos zip que contienen archivos LNK, que ejecutan scripts de PowerShell para extraer un archivo de cabina y, en última instancia, entregar un malware de script por lotes capaz de recopilar datos confidenciales y exfiltrarse a un servidor remoto.
Los hallazgos también encajan phisching campañas Orquestado por Kimsuky para atacar a las agencias gubernamentales en Corea del Sur entregando un malware de robador capaz de establecer comunicaciones de comando y control (C2 o C&C) y exfiltrando archivos, datos del navegador web e información de billetera de criptomonedas.
Según la compañía de ciberseguridad de Corea del Sur, AhnLab, también se ha observado a Kimsuky propagando a Pebbledash como parte de una secuencia de infección en varias etapas iniciada a través de Spear-Phishing. El troyano fue atribuido por el gobierno de los Estados Unidos al grupo Lázaro en mayo de 2020.
“Si bien el grupo Kimsuky utiliza varios tipos de malware, en el caso de Pebbledash, ejecutan malware basado en un archivo LNK por phishing en la etapa de acceso inicial para lanzar sus ataques” dicho.
“Luego utilizan un script de PowerShell para crear un programador de tareas y registrarlo para la ejecución automática. A través de la comunicación con un servidor C&C basado en Socket Dropbox y TCP, el grupo instala múltiples malware y herramientas, incluido Pebbledash”.
Konni y Kimsuky están lejos de ser los únicos actores de amenaza de Corea del Norte que se centran en Seúl. Tan recientemente como marzo de 2025, se ha encontrado que las entidades surcoreanas están en el extremo receptor de otra campaña llevada a cabo por APT37, que también se conoce como escorria.
Doblada la Operación Toybox Story, los ataques de phishing spear seleccionaron a varios activistas centrados en Corea del Norte, según el Centro de Seguridad Genians (GSC). El primer ataque de phishing de lanza observado ocurrió el 8 de marzo de 2025.
“El correo electrónico contenía un enlace de Dropbox que conduce a un archivo comprimido que incluía un archivo de acceso directo malicioso (LNK)”, la compañía surcoreana dicho. “Cuando se extrae y ejecutó, el archivo LNK activó malware adicional que contiene la palabra clave ‘juguete'”.
Los archivos LNK están configurados para iniciar un archivo HWP señuelo y ejecutar comandos de PowerShell, lo que lleva a la ejecución de archivos llamados Toy03.bat, Toy02.bat y Toy01.bat (en ese orden), el último de los cuales contiene ShellCode para lanzar Rokrat, un malware básico asociado con APT37.
Rokrat está equipado para recopilar información del sistema, capturar capturas de pantalla y usar tres servicios en la nube diferentes, incluidos PCloud, Yandex y Dropbox para C2.
“Los actores de amenaza explotaron los servicios legítimos en la nube como infraestructura C2 y continuaron modificando archivos de acceso directo (LNK) mientras se enfocaban en técnicas de ataque sin filos para evadir la detección por el software antivirus instalado en los puntos finales objetivo”, dijo los genianos.
About the Author
