Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Los piratas informáticos norcoreanos atacan las industrias energética y aeroespacial con el nuevo malware MISTPEN
  • Tecnología

Los piratas informáticos norcoreanos atacan las industrias energética y aeroespacial con el nuevo malware MISTPEN

teknomers 18 de Eylül de 2024 (Last updated: 18 de Eylül de 2024) 4 minutes read
Los piratas informáticos norcoreanos atacan las industrias energética y aeroespacial


18 de septiembre de 2024Ravie LakshmananEspionaje cibernético / Malware

Se ha observado que un grupo de ciberespionaje vinculado a Corea del Norte utiliza señuelos de phishing con temática laboral para apuntar a posibles víctimas en los sectores energético y aeroespacial e infectarlas con una puerta trasera previamente no documentada denominada MISTPEN.

El grupo de actividades está siendo rastreado por Mandiant, propiedad de Google, bajo el nombre Número de serie 2970que según dice se superpone con un grupo de amenaza conocido como TEMP.Hermit, que también se denomina ampliamente Lazarus Group o Diamond Sleet (anteriormente Zinc).

El actor de amenazas tiene antecedentes de atacar a instituciones gubernamentales, de defensa, de telecomunicaciones y financieras en todo el mundo desde al menos 2013 para recopilar información estratégica que favorezca los intereses de Corea del Norte. Está afiliado a la Oficina General de Reconocimiento (RGB).

Ciberseguridad

La empresa de inteligencia sobre amenazas dijo que ha observado que la norma UNC2970 señala varias entidades ubicadas en Estados Unidos, el Reino Unido, los Países Bajos, Chipre, Suecia, Alemania, Singapur, Hong Kong y Australia.

“UNC2970 ataca a las víctimas bajo la apariencia de ofertas de trabajo, haciéndose pasar por reclutadores de importantes empresas”, afirma. dicho En un nuevo análisis, al agregarlo, se copian y modifican las descripciones de trabajo según sus perfiles objetivo.

“Además, las descripciones de puestos de trabajo elegidas están dirigidas a empleados de nivel superior o de gestión. Esto sugiere que el actor de la amenaza pretende obtener acceso a información sensible y confidencial que normalmente está restringida a los empleados de nivel superior”.

Las cadenas de ataque, también conocidas como Operación Dream Job, implican el uso de señuelos de phishing para interactuar con las víctimas por correo electrónico y WhatsApp en un intento de generar confianza, antes de enviar un archivo ZIP malicioso disfrazado de descripción de trabajo.

En un giro interesante, el archivo PDF de la descripción solo se puede abrir con una versión troyanizada de una aplicación de lectura de PDF legítima llamada Sumatra PDF incluida dentro del archivo para entregar MISTPEN por medio de un iniciador conocido como BURNBOOK.

Malware MISTPEN

Cabe señalar que esto no implica un ataque a la cadena de suministro ni que exista una vulnerabilidad en el software. Más bien, se ha descubierto que el ataque emplea una versión anterior de Sumatra PDF que se ha reutilizado para activar la cadena de infección.

Este es un método probado y adoptado por el grupo de piratas informáticos desde 2022, y tanto Mandiant como Microsoft destacan el uso de una amplia gama de software de código abierto, incluido PuTTY, KiTTY, TightVNC, Sumatra PDF Reader y el instalador de software muPDF/Subliminal Recording para estos ataques.

Se cree que los actores de la amenaza probablemente ordenan a las víctimas que abran el archivo PDF utilizando el programa de visualización de PDF incluido para activar la ejecución de un archivo DLL malicioso, un lanzador C/C++ llamado BURNBOOK.

“Este archivo es un programa para instalar una DLL integrada, ‘wtsapi32.dll’, que se rastrea como TEARPAGE y se utiliza para ejecutar la puerta trasera MISTPEN después de reiniciar el sistema”, dijeron los investigadores de Mandiant. “MISTPEN es una versión troyanizada de un complemento legítimo de Notepad++, binhex.dll, que contiene una puerta trasera”.

Ciberseguridad

TEARPAGE, un cargador integrado en BURNBOOK, es responsable de descifrar y ejecutar MISTPEN. MISTPEN, un implante liviano escrito en C, está equipado para descargar y ejecutar archivos ejecutables portátiles (PE) recuperados de un servidor de comando y control (C2). Se comunica a través de HTTP con las siguientes URL de Microsoft Graph.

Mandiant también afirmó que descubrió artefactos más antiguos de BURNBOOK y MISTPEN, lo que sugiere que se están mejorando iterativamente para agregar más capacidades y permitir que pasen desapercibidos. Las primeras muestras de MISTPEN también se descubrieron utilizando sitios web de WordPress comprometidos como dominios C2.

“El actor de amenazas ha mejorado su malware con el tiempo implementando nuevas funciones y agregando una verificación de conectividad de red para dificultar el análisis de las muestras”, dijeron los investigadores.

¿Te ha parecido interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Party de O Mens propone una lista: "El gobierno de la ciudad es incompetente."
Next: Richard Gere: Por eso se avergüenza de “Pretty Woman”

Related Stories

Visaje agrietado, pepinillo, faro: se revelan los diseños de los
  • Tecnología

Visaje agrietado, pepinillo, faro: se revelan los diseños de los 9 futuros emojis

teknomers 16 de Temmuz de 2026
RMC BFM ha perdido casi un 40 % de su
  • Tecnología

RMC BFM ha perdido casi un 40 % de su valor en 18 meses desde su adquisición por CMA CGM

teknomers 16 de Temmuz de 2026
Mejora tu mensajería Signal para el verano: descubre las novedades
  • Tecnología

Mejora tu mensajería Signal para el verano: descubre las novedades

teknomers 16 de Temmuz de 2026

You May Have Missed

  • General

Tres años después, Nueva York nuevamente alcanzada por una nube de humo proveniente de Canadá, donde los incendios se multiplican.

teknomers 16 de Temmuz de 2026
  • General

La Casa de la Moneda de EE. UU. produce una moneda de $1 con la imagen de Trump para ayudar a celebrar el 250 cumpleaños de América.

teknomers 16 de Temmuz de 2026
«Él era mi mayor fan»: el consultor de la BBC
  • Deporte

«Él era mi mayor fan»: el consultor de la BBC Micah Richards aprende del fallecimiento de su padre antes de la semifinal, pero mantiene su puesto.

teknomers 16 de Temmuz de 2026
Visaje agrietado, pepinillo, faro: se revelan los diseños de los
  • Tecnología

Visaje agrietado, pepinillo, faro: se revelan los diseños de los 9 futuros emojis

teknomers 16 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.