{"id":1366670,"date":"2024-09-18T20:29:21","date_gmt":"2024-09-18T20:29:21","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-norcoreanos-atacan-las-industrias-energetica-y-aeroespacial-con-el-nuevo-malware-mistpen\/"},"modified":"2024-09-18T20:29:26","modified_gmt":"2024-09-18T20:29:26","slug":"los-piratas-informaticos-norcoreanos-atacan-las-industrias-energetica-y-aeroespacial-con-el-nuevo-malware-mistpen","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-norcoreanos-atacan-las-industrias-energetica-y-aeroespacial-con-el-nuevo-malware-mistpen\/","title":{"rendered":"Los piratas inform\u00e1ticos norcoreanos atacan las industrias energ\u00e9tica y aeroespacial con el nuevo malware MISTPEN"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">18 de septiembre de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Espionaje cibern\u00e9tico \/ Malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/Los-piratas-informaticos-norcoreanos-atacan-las-industrias-energetica-y-aeroespacial.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Se ha observado que un grupo de ciberespionaje vinculado a Corea del Norte utiliza se\u00f1uelos de phishing con tem\u00e1tica laboral para apuntar a posibles v\u00edctimas en los sectores energ\u00e9tico y aeroespacial e infectarlas con una puerta trasera previamente no documentada denominada MISTPEN.<\/p>\n<p>El grupo de actividades est\u00e1 siendo rastreado por Mandiant, propiedad de Google, bajo el nombre <strong>N\u00famero de serie 2970<\/strong>que seg\u00fan dice se superpone con un grupo de amenaza conocido como TEMP.Hermit, que tambi\u00e9n se denomina ampliamente Lazarus Group o Diamond Sleet (anteriormente Zinc).<\/p>\n<p>El actor de amenazas tiene antecedentes de atacar a instituciones gubernamentales, de defensa, de telecomunicaciones y financieras en todo el mundo desde al menos 2013 para recopilar informaci\u00f3n estrat\u00e9gica que favorezca los intereses de Corea del Norte. Est\u00e1 afiliado a la Oficina General de Reconocimiento (RGB).<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/hkn-executive\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1726470741_359_Los-cibercriminales-aprovechan-los-encabezados-HTTP-para-robar-credenciales-mediante.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La empresa de inteligencia sobre amenazas dijo que ha observado que la norma UNC2970 se\u00f1ala varias entidades ubicadas en Estados Unidos, el Reino Unido, los Pa\u00edses Bajos, Chipre, Suecia, Alemania, Singapur, Hong Kong y Australia.<\/p>\n<p>&#8220;UNC2970 ataca a las v\u00edctimas bajo la apariencia de ofertas de trabajo, haci\u00e9ndose pasar por reclutadores de importantes empresas&#8221;, afirma. <a rel=\"nofollow noopener\" href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/unc2970-backdoor-trojanized-pdf-reader\" target=\"_blank\">dicho<\/a> En un nuevo an\u00e1lisis, al agregarlo, se copian y modifican las descripciones de trabajo seg\u00fan sus perfiles objetivo.<\/p>\n<p>&#8220;Adem\u00e1s, las descripciones de puestos de trabajo elegidas est\u00e1n dirigidas a empleados de nivel superior o de gesti\u00f3n. Esto sugiere que el actor de la amenaza pretende obtener acceso a informaci\u00f3n sensible y confidencial que normalmente est\u00e1 restringida a los empleados de nivel superior&#8221;.<\/p>\n<p>Las cadenas de ataque, tambi\u00e9n conocidas como Operaci\u00f3n Dream Job, implican el uso de se\u00f1uelos de phishing para interactuar con las v\u00edctimas por correo electr\u00f3nico y WhatsApp en un intento de generar confianza, antes de enviar un archivo ZIP malicioso disfrazado de descripci\u00f3n de trabajo.<\/p>\n<p>En un giro interesante, el archivo PDF de la descripci\u00f3n solo se puede abrir con una versi\u00f3n troyanizada de una aplicaci\u00f3n de lectura de PDF leg\u00edtima llamada Sumatra PDF incluida dentro del archivo para entregar MISTPEN por medio de un iniciador conocido como BURNBOOK.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/Los-piratas-informaticos-norcoreanos-atacan-las-industrias-energetica-y-aeroespacial.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/Los-piratas-informaticos-norcoreanos-atacan-las-industrias-energetica-y-aeroespacial.jpg\" alt=\"Malware MISTPEN\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\" title=\"Malware MISTPEN\"\/><\/a><\/div>\n<p>Cabe se\u00f1alar que esto no implica un ataque a la cadena de suministro ni que exista una vulnerabilidad en el software. M\u00e1s bien, se ha descubierto que el ataque emplea una versi\u00f3n anterior de Sumatra PDF que se ha reutilizado para activar la cadena de infecci\u00f3n.<\/p>\n<p>Este es un m\u00e9todo probado y adoptado por el grupo de piratas inform\u00e1ticos desde 2022, y tanto Mandiant como Microsoft destacan el uso de una amplia gama de software de c\u00f3digo abierto, incluido PuTTY, KiTTY, TightVNC, Sumatra PDF Reader y el instalador de software muPDF\/Subliminal Recording para estos ataques.<\/p>\n<p>Se cree que los actores de la amenaza probablemente ordenan a las v\u00edctimas que abran el archivo PDF utilizando el programa de visualizaci\u00f3n de PDF incluido para activar la ejecuci\u00f3n de un archivo DLL malicioso, un lanzador C\/C++ llamado BURNBOOK.<\/p>\n<p>&#8220;Este archivo es un programa para instalar una DLL integrada, &#8216;wtsapi32.dll&#8217;, que se rastrea como TEARPAGE y se utiliza para ejecutar la puerta trasera MISTPEN despu\u00e9s de reiniciar el sistema&#8221;, dijeron los investigadores de Mandiant. &#8220;MISTPEN es una versi\u00f3n troyanizada de un complemento leg\u00edtimo de Notepad++, binhex.dll, que contiene una puerta trasera&#8221;.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/hkn-cis-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Hackers-norcoreanos-utilizan-rootkit-FudModule-a-traves-de-exploit-de.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>TEARPAGE, un cargador integrado en BURNBOOK, es responsable de descifrar y ejecutar MISTPEN. MISTPEN, un implante liviano escrito en C, est\u00e1 equipado para descargar y ejecutar archivos ejecutables port\u00e1tiles (PE) recuperados de un servidor de comando y control (C2). Se comunica a trav\u00e9s de HTTP con las siguientes URL de Microsoft Graph.<\/p>\n<p>Mandiant tambi\u00e9n afirm\u00f3 que descubri\u00f3 artefactos m\u00e1s antiguos de BURNBOOK y MISTPEN, lo que sugiere que se est\u00e1n mejorando iterativamente para agregar m\u00e1s capacidades y permitir que pasen desapercibidos. Las primeras muestras de MISTPEN tambi\u00e9n se descubrieron utilizando sitios web de WordPress comprometidos como dominios C2.<\/p>\n<p>&#8220;El actor de amenazas ha mejorado su malware con el tiempo implementando nuevas funciones y agregando una verificaci\u00f3n de conectividad de red para dificultar el an\u00e1lisis de las muestras&#8221;, dijeron los investigadores.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/09\/north-korean-hackers-target-energy-and.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80218 de septiembre de 2024\ue804Ravie LakshmananEspionaje cibern\u00e9tico \/ Malware Se ha observado que un grupo de ciberespionaje vinculado<\/p>\n","protected":false},"author":1,"featured_media":1366671,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,55515,6350,4661,4664,99,5935,18331,6214,246,4667,36,4669,239182,254070,35239,4654,239508,4658,4659,4653,480,6213,246983,4665,246984,246982,239484],"class_list":["post-1366670","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-aeroespacial","tag-atacan","tag-ataques-ciberneticos","tag-como-hackear","tag-con","tag-energetica","tag-industrias","tag-informaticos","tag-las","tag-las-noticias-de-los-hackers","tag-los","tag-malware","tag-malware-ransomware","tag-mistpen","tag-norcoreanos","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-nuevo","tag-piratas","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-violacion-de-datos","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1366670","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1366670"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1366670\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1366671"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1366670"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1366670"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1366670"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}