{"id":1620304,"date":"2025-03-13T19:02:04","date_gmt":"2025-03-13T19:02:04","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-escorruador-de-corea-del-norte-despliega-malware-kospy-espiando-a-los-usuarios-de-android-a-traves-de-aplicaciones-de-utilidad-falsas\/"},"modified":"2025-03-13T19:02:09","modified_gmt":"2025-03-13T19:02:09","slug":"el-escorruador-de-corea-del-norte-despliega-malware-kospy-espiando-a-los-usuarios-de-android-a-traves-de-aplicaciones-de-utilidad-falsas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-escorruador-de-corea-del-norte-despliega-malware-kospy-espiando-a-los-usuarios-de-android-a-traves-de-aplicaciones-de-utilidad-falsas\/","title":{"rendered":"El escorruador de Corea del Norte despliega malware Kospy, espiando a los usuarios de Android a trav\u00e9s de aplicaciones de utilidad falsas"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/El-escorruador-de-Corea-del-Norte-despliega-malware-Kospy-espiando.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Se dice que el actor de amenaza vinculado a Corea del Norte conocido como escorruador estaba detr\u00e1s de una herramienta de vigilancia de Android nunca antes vista llamada <strong>Kospy<\/strong> dirigido a usuarios coreanos e ingleses.<\/p>\n<p>Lookout, que comparti\u00f3 detalles de la campa\u00f1a de malware, dijo que las primeras versiones se remontan a marzo de 2022. Las muestras m\u00e1s recientes fueron marcadas en marzo de 2024. No est\u00e1 claro qu\u00e9 tan exitosos fueron estos esfuerzos.<\/p>\n<p>&#8220;Kospy puede recopilar datos extensos, como mensajes SMS, registros de llamadas, ubicaci\u00f3n, archivos, audio y capturas de pantalla a trav\u00e9s de complementos cargados din\u00e1micamente&#8221;, la compa\u00f1\u00eda <a rel=\"noopener nofollow\" href=\"https:\/\/www.lookout.com\/threat-intelligence\/article\/lookout-discovers-new-spyware-by-north-korean-apt37\" target=\"_blank\">dicho<\/a> en un an\u00e1lisis.<\/p>\n<p>Los artefactos maliciosos se basan en aplicaciones de servicios p\u00fablicos en la tienda oficial de Google Play, utilizando el administrador de archivos de nombres, el administrador de tel\u00e9fonos, el administrador inteligente, la utilidad de actualizaci\u00f3n de software y la seguridad de Kakao para enga\u00f1ar a los usuarios desprevenidos para que infecten sus propios dispositivos.<\/p>\n<p>Todas las aplicaciones identificadas ofrecen la funcionalidad prometida para evitar elevar sospechas mientras implementan sigilosamente componentes relacionados con el spyware en segundo plano. Desde entonces, las aplicaciones han sido eliminadas del mercado de aplicaciones.<\/p>\n<p>Scarcruft, tambi\u00e9n llamado APT27 y Reaper, es un grupo cibern\u00e9tico de espionaje patrocinado por el estado de Corea del Norte activo desde 2012. Los cadenas de ataque orquestados por el grupo aprovechan principalmente a Rokrat como un medio para <a rel=\"noopener nofollow\" href=\"https:\/\/cn-sec.com\/archives\/3762400.html\" target=\"_blank\">Cosecha datos confidenciales<\/a> de los sistemas de Windows. Rokrat se ha adaptado desde entonces a MacOS y Android de Target. <\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1740827649_433_Mozilla-actualiza-los-terminos-de-Firefox-nuevamente-despues-de-una.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Las aplicaciones de Android maliciosas, una vez instaladas, est\u00e1n dise\u00f1adas para contactar a una base de datos de la nube Firebase Firestore para recuperar una configuraci\u00f3n que contiene la direcci\u00f3n del servidor de comando y control (C2) real.<\/p>\n<p>Mediante el uso de un servicio leg\u00edtimo como Firestore como <a rel=\"noopener nofollow\" href=\"https:\/\/attack.mitre.org\/techniques\/T1102\/001\/\" target=\"_blank\">Resolver de ca\u00edda muerta<\/a>el enfoque C2 de dos etapas ofrece flexibilidad y resistencia, lo que permite al actor de amenaza cambiar la direcci\u00f3n C2 en cualquier momento y operar sin ser detectados.<\/p>\n<p>&#8220;Despu\u00e9s de recuperar la direcci\u00f3n C2, Kospy asegura que el dispositivo no sea un emulador y que la fecha actual haya pasado la fecha de activaci\u00f3n codificada&#8221;, dijo Lookout. &#8220;Esta verificaci\u00f3n de fecha de activaci\u00f3n asegura que el spyware no revele su intenci\u00f3n maliciosa prematuramente&#8221;.<\/p>\n<p>Kospy es capaz de descargar complementos adicionales, as\u00ed como configuraciones para cumplir con sus objetivos de vigilancia. La naturaleza exacta del complemento sigue siendo desconocida ya que los servidores C2 ya no est\u00e1n activos o no responden a las solicitudes del cliente.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1741892522_689_El-escorruador-de-Corea-del-Norte-despliega-malware-Kospy-espiando.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1741892522_689_El-escorruador-de-Corea-del-Norte-despliega-malware-Kospy-espiando.png\" alt=\"\" border=\"0\" data-original-height=\"599\" data-original-width=\"884\"\/><\/a><\/div>\n<p>El malware est\u00e1 dise\u00f1ado para recopilar una amplia gama de datos del dispositivo comprometido, incluidos mensajes SMS, registros de llamadas, ubicaci\u00f3n del dispositivo, archivos en almacenamiento local, capturas de pantalla, pulsaciones de teclas, informaci\u00f3n de red Wi-Fi y la lista de aplicaciones instaladas. Tambi\u00e9n est\u00e1 equipado para grabar audio y tomar fotos.<\/p>\n<p>Lookout dijo que identific\u00f3 las superposiciones de infraestructura entre la campa\u00f1a de Kospy y las previamente vinculadas a otro grupo de pirater\u00eda norcoreano llamado Kimsuky (tambi\u00e9n conocido como APT43).<\/p>\n<h2 style=\"text-align: left;\">La entrevista contagiosa se manifiesta como paquetes NPM<\/h2>\n<p>La divulgaci\u00f3n se produce cuando Socket descubri\u00f3 un conjunto de seis paquetes de NPM que est\u00e1n dise\u00f1ados para implementar un malware conocido de robo de informaci\u00f3n llamado Beaverail, que est\u00e1 vinculado a una campa\u00f1a de Corea del Norte en curso rastreada como una entrevista contagiosa. La lista de paquetes ahora recogidos est\u00e1 a continuaci\u00f3n &#8211;<\/p>\n<ul>\n<li>Validador de Buffer<\/li>\n<li>Yoojae-validator<\/li>\n<li>empaquetamiento de eventos<\/li>\n<li>validador de matriz<\/li>\n<li>dependencia de reacci\u00f3n-dependencia<\/li>\n<li>autenticador<\/li>\n<\/ul>\n<p>Los paquetes est\u00e1n dise\u00f1ados para recopilar detalles del entorno del sistema, as\u00ed como credenciales almacenadas en navegadores web como Google Chrome, Brave y Mozilla Firefox. Tambi\u00e9n se dirige a las billeteras de criptomonedas, extrayendo Id.json de Solana y Exodus.wallet de Exodus. <\/p>\n<p>&#8220;Los seis paquetes nuevos, descargados colectivamente m\u00e1s de 330 veces, imitan de cerca los nombres de bibliotecas ampliamente confiables, empleando una conocida t\u00e1ctica tipogr\u00e1fica utilizada por los actores de amenaza vinculados a L\u00e1zaro para enga\u00f1ar a los desarrolladores&#8221;, el investigador de socket Kirill Boychenko <a rel=\"noopener nofollow\" href=\"https:\/\/socket.dev\/blog\/lazarus-strikes-npm-again-with-a-new-wave-of-malicious-packages\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>&#8220;Adem\u00e1s, el grupo APT cre\u00f3 y mantuvo repositorios de GitHub para cinco de los paquetes maliciosos, prestando una apariencia de legitimidad de c\u00f3digo abierto y aumentando la probabilidad de que el c\u00f3digo nocivo se integre en los flujos de trabajo de los desarrolladores&#8221;.<\/p>\n<h2 style=\"text-align: left;\">La campa\u00f1a de Corea del Norte utiliza Rustdoor y Koi Stealer<\/h2>\n<p>Los hallazgos tambi\u00e9n siguen el descubrimiento de una nueva campa\u00f1a que se ha encontrado dirigida al sector de criptomonedas con un malware MacOS basado en \u00f3xido llamado Rustdoor (tambi\u00e9n conocido como Thiefbucket) y una variante de macOS previamente indocumentada de una familia de malware conocida como Koi Stealer.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/El-pico-de-Botnet-de-Vo1d-supera-a-159-millones.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Palo Alto Networks Unit 42 dijo que las caracter\u00edsticas de los atacantes tienen similitudes con la entrevista contagiosa, y que est\u00e1 evaluando con confianza media que la actividad se llev\u00f3 a cabo en nombre del r\u00e9gimen de Corea del Norte.<\/p>\n<p>Espec\u00edficamente, la cadena de ataque implica el uso de un proyecto de entrevista de trabajo falso que, cuando se ejecuta a trav\u00e9s de Microsoft Visual Studio, intenta descargar y ejecutar Rustdoor. El malware luego procede a robar contrase\u00f1as de la extensi\u00f3n de Google Chrome de LastPass, exfiltrate los datos a un servidor externo y descargue dos scripts bash adicionales para abrir un shell inverso.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1741892524_498_El-escorruador-de-Corea-del-Norte-despliega-malware-Kospy-espiando.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1741892524_498_El-escorruador-de-Corea-del-Norte-despliega-malware-Kospy-espiando.png\" alt=\"\" border=\"0\" data-original-height=\"535\" data-original-width=\"1097\"\/><\/a><\/div>\n<p>La etapa final de la infecci\u00f3n implica la recuperaci\u00f3n y ejecuci\u00f3n de otra carga \u00fatil, una versi\u00f3n de MacOS de Koi Stealer que se hace pasar por Visual Studio a enga\u00f1ar a las v\u00edctimas para que ingresen la contrase\u00f1a de su sistema, lo que le permite reunir y exfiltrar datos de la m\u00e1quina.<\/p>\n<p>&#8220;Esta campa\u00f1a destaca los riesgos que se enfrentan las organizaciones en todo el mundo de los elaborados ataques de ingenier\u00eda social dise\u00f1ados para infiltrarse en redes y robar datos confidenciales y criptomonedas&#8221;, los investigadores de seguridad Adva Gabay y Daniel Frank <a rel=\"noopener nofollow\" href=\"https:\/\/unit42.paloaltonetworks.com\/macos-malware-targets-crypto-sector\/\" target=\"_blank\">dicho<\/a>. &#8220;Estos riesgos se magnifican cuando el perpetrador es un actor de amenaza de estado-naci\u00f3n, en comparaci\u00f3n con un cibercrimen de motivaci\u00f3n puramente financiera&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/north-koreas-scarcruft-deploys-kospy.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Se dice que el actor de amenaza vinculado a Corea del Norte conocido como escorruador estaba detr\u00e1s de<\/p>\n","protected":false},"author":1,"featured_media":1620305,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,8514,8343,4661,4664,1939,38,16896,286008,66106,3187,286009,273784,36,4669,273783,595,4654,273782,4659,4653,4655,246983,4665,246984,116,7528,42595,455,239484],"class_list":["post-1620304","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-android","tag-aplicaciones","tag-ataques-ciberneticos","tag-como-hackear","tag-corea","tag-del","tag-despliega","tag-escorruador","tag-espiando","tag-falsas","tag-kospy","tag-las-noticias-del-hacker","tag-los","tag-malware","tag-malware-de-ransomware","tag-norte","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-traves","tag-usuarios","tag-utilidad","tag-violacion","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1620304","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1620304"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1620304\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1620305"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1620304"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1620304"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1620304"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}