{"id":1309770,"date":"2024-08-08T16:30:52","date_gmt":"2024-08-08T16:30:52","guid":{"rendered":"https:\/\/teknomers.com\/es\/profesores-universitarios-en-la-mira-de-un-grupo-de-ciberespionaje-norcoreano\/"},"modified":"2024-08-08T16:30:56","modified_gmt":"2024-08-08T16:30:56","slug":"profesores-universitarios-en-la-mira-de-un-grupo-de-ciberespionaje-norcoreano","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/profesores-universitarios-en-la-mira-de-un-grupo-de-ciberespionaje-norcoreano\/","title":{"rendered":"Profesores universitarios en la mira de un grupo de ciberespionaje norcoreano"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>08 de agosto de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Ataque cibern\u00e9tico \/ Espionaje cibern\u00e9tico<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

El actor de amenazas vinculado a Corea del Norte conocido como Kimsuky ha sido vinculado a un nuevo conjunto de ataques dirigidos contra personal universitario, investigadores y profesores con fines de recopilaci\u00f3n de inteligencia.<\/p>\n

Empresa de ciberseguridad Resilience dicho<\/a> Identific\u00f3 la actividad a fines de julio de 2024 despu\u00e9s de observar un error de seguridad de la operaci\u00f3n (OPSEC) cometido por los piratas inform\u00e1ticos.<\/p>\n

Kimsuky, tambi\u00e9n conocido por los nombres APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail y Velvet Chollima, es solo uno de los innumerables equipos cibern\u00e9ticos ofensivos que operan bajo la direcci\u00f3n del gobierno y el ej\u00e9rcito de Corea del Norte.<\/p>\n

\"La<\/a><\/center><\/div>\n

Tambi\u00e9n es muy activo y a menudo aprovecha campa\u00f1as de phishing como punto de partida para ofrecer un conjunto cada vez mayor de herramientas personalizadas para realizar reconocimientos, robar datos y establecer acceso remoto persistente a hosts infectados.<\/p>\n

Los ataques tambi\u00e9n se caracterizan por el uso de hosts comprometidos como infraestructura de prueba para implementar una versi\u00f3n ofuscada del shell web de Green Dinosaur, que luego se utiliza para realizar operaciones con archivos. El uso del shell web por parte de Kimuksy fue previamente destacado<\/a> por el investigador de seguridad blackorbird en mayo de 2024.<\/p>\n

Luego se abusa del acceso proporcionado por Green Dinosaur para cargar p\u00e1ginas de phishing predise\u00f1adas que est\u00e1n dise\u00f1adas para imitar portales de inicio de sesi\u00f3n leg\u00edtimos de Naver y varias universidades como la Universidad Dongduk, la Universidad de Corea y la Universidad Yonsei con el objetivo de capturar sus credenciales.<\/p>\n

Luego, las v\u00edctimas son redirigidas a otro sitio que apunta a un documento PDF alojado en Google Drive que pretende ser una invitaci\u00f3n al Foro de Agosto del Instituto Asan de Estudios Pol\u00edticos. <\/p>\n

“Adem\u00e1s, en los sitios de phishing de Kimsuky, hay un kit de herramientas de phishing no espec\u00edfico para recopilar cuentas de Naver”, dijeron los investigadores de Resilience.<\/p>\n

\"La<\/a><\/center><\/section>\n

“Este kit de herramientas es un proxy rudimentario similar a Evilginx para robar cookies y credenciales de los visitantes y muestra ventanas emergentes que indican a los usuarios que deben iniciar sesi\u00f3n nuevamente porque se interrumpi\u00f3 la comunicaci\u00f3n con el servidor”.<\/p>\n

El an\u00e1lisis tambi\u00e9n ha arrojado luz sobre una costumbre Correo PHP<\/a> herramienta utilizada por Kimsuky llamada SendMail, que se emplea para enviar correos electr\u00f3nicos de phishing a los objetivos que utilizan cuentas de Gmail y Daum Mail. <\/p>\n

Para combatir la amenaza, se recomienda que los usuarios habiliten la autenticaci\u00f3n multifactor (MFA) resistente al phishing y examinen las URL antes de iniciar sesi\u00f3n.<\/p>\n

<\/p>\n

\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n