{"id":1578824,"date":"2025-02-13T19:48:44","date_gmt":"2025-02-13T19:48:44","guid":{"rendered":"https:\/\/teknomers.com\/es\/apt43-de-corea-del-norte-usa-powershell-y-dropbox-en-ataques-ciberneticos-de-corea-del-sur\/"},"modified":"2025-02-13T19:48:49","modified_gmt":"2025-02-13T19:48:49","slug":"apt43-de-corea-del-norte-usa-powershell-y-dropbox-en-ataques-ciberneticos-de-corea-del-sur","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/apt43-de-corea-del-norte-usa-powershell-y-dropbox-en-ataques-ciberneticos-de-corea-del-sur\/","title":{"rendered":"APT43 de Corea del Norte usa PowerShell y Dropbox en ataques cibern\u00e9ticos de Corea del Sur"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">13 de febrero de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Estados Unidos<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/APT43-de-Corea-del-Norte-usa-PowerShell-y-Dropbox-en.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Un actor de amenaza de estado-naci\u00f3n con v\u00ednculos con Corea del Norte se ha relacionado con una campa\u00f1a en curso dirigida a los sectores de negocios, gobierno y criptomonedas de Corea del Sur.<\/p>\n<p>La campa\u00f1a de ataque, doblada <strong>Profundo#unidad<\/strong> Por Securonix, se ha atribuido a un grupo de pirater\u00eda conocido como Kimsuky, que tambi\u00e9n se rastrea bajo los nombres Apt43, Black Banshee, Emerald Ship, Sparkling Piscis, Springtail, Ta427 y Velvet Chollima.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/La-estafa-malvada-utiliza-anuncios-falsos-de-Google-para-secuestrar.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Aprovechando los se\u00f1uelos de phishing a medida escritos en coreano y disfrazados como documentos leg\u00edtimos, los atacantes se infiltraron con \u00e9xito entornos espec\u00edficos&#8221;, los investigadores de seguridad den iuzvyk y Tim Peck <a rel=\"noopener nofollow\" href=\"https:\/\/www.securonix.com\/blog\/analyzing-deepdrive-north-korean-threat-actors-observed-exploiting-trusted-platforms-for-targeted-attacks\/\" target=\"_blank\">dicho<\/a> En un informe compartido con The Hacker News, describiendo la actividad como una &#8220;operaci\u00f3n sofisticada y de varias etapas&#8221;.<\/p>\n<p>Los documentos Decoy, enviados a trav\u00e9s de correos electr\u00f3nicos de phishing como archivos .hwp, .xlsx y .pptx, se disfrazan de registros de trabajo, documentos de seguro y archivos relacionados con cripto para enga\u00f1ar a los destinatarios para que los abran, lo que desencadena el proceso de infecci\u00f3n.<\/p>\n<p>La cadena de ataque es notable por su gran dependencia de los scripts de PowerShell en varias etapas, incluida la entrega de carga \u00fatil, el reconocimiento y la ejecuci\u00f3n. Tambi\u00e9n se caracteriza por el uso de Dropbox para la distribuci\u00f3n de la carga \u00fatil y la exfiltraci\u00f3n de datos.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/1739476123_142_APT43-de-Corea-del-Norte-usa-PowerShell-y-Dropbox-en.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/1739476123_142_APT43-de-Corea-del-Norte-usa-PowerShell-y-Dropbox-en.png\" alt=\"Ataques cibern\u00e9ticos de Corea del Sur\" border=\"0\" data-original-height=\"1176\" data-original-width=\"1999\" title=\"Ataques cibern\u00e9ticos de Corea del Sur\"\/><\/a><\/div>\n<p>Todo comienza con un archivo ZIP que contiene un solo archivo de acceso directo de Windows (.lnk) que se disfraza de un documento leg\u00edtimo, que, cuando se extrae y se lanz\u00f3, desencadena la ejecuci\u00f3n del c\u00f3digo PowerShell para recuperar y mostrar un documento de se\u00f1uelo alojado en Dropbox, mientras que sigilosamente Establecer persistencia en el host de Windows a trav\u00e9s de una tarea programada llamada &#8220;ChromeUpdatetaskmachine&#8221;.<\/p>\n<p>Uno de esos documentos de se\u00f1uelo, escrito en coreano, se refiere a un plan de trabajo de seguridad para operaciones de montacargas en un centro de log\u00edstica, profundizando en el manejo seguro de carga pesada y describiendo formas de garantizar el cumplimiento de los est\u00e1ndares de seguridad en el lugar de trabajo.<\/p>\n<p>El script PowerShell tambi\u00e9n est\u00e1 dise\u00f1ado para contactar la misma ubicaci\u00f3n de Dropbox para obtener otro script de PowerShell que es responsable de recopilar y exfiltrar informaci\u00f3n del sistema. Adem\u00e1s, deja caer un tercer script PowerShell que finalmente es responsable de ejecutar un ensamblaje de .NET desconocido.<\/p>\n<p>&#8220;El uso de la autenticaci\u00f3n basada en token OAuth para las interacciones de la API de Dropbox permiti\u00f3 una exfiltraci\u00f3n perfecta de los datos de reconocimiento, como la informaci\u00f3n del sistema y los procesos activos, a las carpetas predeterminadas&#8221;, dijeron los investigadores.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v1-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/1738386538_999_La-estafa-malvada-utiliza-anuncios-falsos-de-Google-para-secuestrar.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Esta infraestructura basada en la nube demuestra un m\u00e9todo efectivo pero sigiloso para alojar y recuperar las cargas \u00fatiles, sin pasar por alto las listas de bloques de IP o dominio tradicionales. Adem\u00e1s, la infraestructura parec\u00eda din\u00e1mica y de corta duraci\u00f3n, como se evidencia por la r\u00e1pida eliminaci\u00f3n de enlaces clave despu\u00e9s de las etapas iniciales de las etapas iniciales de las Ataque, una t\u00e1ctica que no solo complica el an\u00e1lisis, sino que tambi\u00e9n sugiere que los atacantes monitorean activamente sus campa\u00f1as para la seguridad operativa &#8220;.<\/p>\n<p>Securonix dijo que fue capaz de aprovechar los tokens OAuth para obtener informaci\u00f3n adicional sobre la infraestructura del actor de amenaza, encontrando evidencia de que la campa\u00f1a puede haber estado en marcha desde septiembre del a\u00f1o pasado.<\/p>\n<p>&#8220;A pesar de la etapa final faltante, el an\u00e1lisis destaca las t\u00e9cnicas sofisticadas empleadas, incluida la ofuscaci\u00f3n, la ejecuci\u00f3n sigilosa y el procesamiento din\u00e1mico de archivos, que demuestran la intenci\u00f3n del atacante de evadir la detecci\u00f3n y complicar la respuesta de incidentes&#8221;, concluyeron los investigadores.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/north-korean-apt43-uses-powershell-and.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80213 de febrero de 2025\ue804Ravie LakshmananEstados Unidos Un actor de amenaza de estado-naci\u00f3n con v\u00ednculos con Corea del<\/p>\n","protected":false},"author":1,"featured_media":1578825,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,154952,2346,4661,6634,4664,1939,38,91627,273784,273783,595,4654,273782,4659,4653,4655,118220,246983,4665,246984,758,10875,455,4660],"class_list":["post-1578824","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-apt43","tag-ataques","tag-ataques-ciberneticos","tag-ciberneticos","tag-como-hackear","tag-corea","tag-del","tag-dropbox","tag-las-noticias-del-hacker","tag-malware-de-ransomware","tag-norte","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-powershell","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-sur","tag-usa","tag-violacion","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1578824","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1578824"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1578824\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1578825"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1578824"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1578824"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1578824"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}