{"id":1715474,"date":"2025-05-13T14:26:05","date_gmt":"2025-05-13T14:26:05","guid":{"rendered":"https:\/\/teknomers.com\/es\/konni-norcoreano-apto-se-dirige-a-ucrania-con-malware-para-rastrear-el-progreso-de-la-invasion-rusa\/"},"modified":"2025-05-13T14:26:10","modified_gmt":"2025-05-13T14:26:10","slug":"konni-norcoreano-apto-se-dirige-a-ucrania-con-malware-para-rastrear-el-progreso-de-la-invasion-rusa","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/konni-norcoreano-apto-se-dirige-a-ucrania-con-malware-para-rastrear-el-progreso-de-la-invasion-rusa\/","title":{"rendered":"Konni norcoreano apto se dirige a Ucrania con malware para rastrear el progreso de la invasi\u00f3n rusa"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

El actor de amenaza vinculado a Corea del Norte conocido como Konni APT se ha atribuido a una campa\u00f1a de phishing dirigida a entidades gubernamentales en Ucrania, lo que indica la orientaci\u00f3n de la amenaza del actor m\u00e1s all\u00e1 de Rusia.<\/p>\n

La firma de seguridad empresarial, Proofpoint, dijo que el objetivo final de la campa\u00f1a es recopilar inteligencia sobre la “trayectoria de la invasi\u00f3n rusa”.<\/p>\n

“El inter\u00e9s del grupo en Ucrania sigue la orientaci\u00f3n hist\u00f3rica de las entidades gubernamentales en Rusia para fines de recolecci\u00f3n de inteligencia estrat\u00e9gica”, los investigadores de seguridad Greg Lesnewich, Saher Naumaan y Mark Kelly dicho<\/a> En un informe compartido con The Hacker News.<\/p>\n

Konni Apt, tambi\u00e9n conocido como Opal Sleet, Osmium, TA406 y Vedalia<\/a>es un grupo de ciber espionaje que tiene una historia de entidades de orientaci\u00f3n en Corea del Sur, Estados Unidos y Rusia. Est\u00e1 operativo desde al menos 2014.<\/p>\n

Las cadenas de ataque montadas por el actor de amenaza a menudo implican el uso de correos electr\u00f3nicos de phishing para distribuir malware llamado Konni Rat (tambi\u00e9n conocido como Updog) y redirigir a los destinatarios a las p\u00e1ginas de recolecci\u00f3n de credenciales. Proofpoint, en un an\u00e1lisis del grupo de amenazas publicado en noviembre de 2021, evalu\u00f3 que TA406 es uno de varios actores que constituyen la actividad rastreada p\u00fablicamente como Kimsuky, Thallium y Konni Group.<\/p>\n

El \u00faltimo conjunto de ataques documentados por la compa\u00f1\u00eda de seguridad cibern\u00e9tica implica el uso de correos electr\u00f3nicos de phishing que se hacen pasar por un becario ficticio en un grupo de expertos llamado Royal Institute of Strategic Studies, que tambi\u00e9n es una organizaci\u00f3n inexistente.<\/p>\n

Los mensajes de correo electr\u00f3nico contienen un enlace a un archivo RAR protegido por contrase\u00f1a que est\u00e1 alojado en el servicio Mega Cloud. Abrir el archivo RAR utilizando una contrase\u00f1a mencionada en el cuerpo del mensaje lanza una secuencia de infecci\u00f3n que est\u00e1 dise\u00f1ada para realizar un reconocimiento extenso de las m\u00e1quinas comprometidas.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Espec\u00edficamente, el presente dentro del archivo RAR es un archivo CHM que muestra contenido se\u00f1uelo relacionado con el ex l\u00edder militar ucraniano Valeriy Zaluzhnyi. Si la v\u00edctima hace clic en cualquier lugar de la p\u00e1gina, se ejecuta un comando PowerShell integrado dentro del HTML para comunicarse con un servidor externo y descargar una carga \u00fatil de PowerShell de pr\u00f3xima etapa.<\/p>\n

El script PowerShell recientemente lanzado es capaz de ejecutar varios comandos para recopilar informaci\u00f3n sobre el sistema, codificarla utilizando Base64-Ecoding y enviarla al mismo servidor.<\/p>\n

“El actor envi\u00f3 m\u00faltiples correos electr\u00f3nicos de phishing en d\u00edas consecutivos cuando el objetivo no hizo clic en el enlace, preguntando al objetivo si hab\u00eda recibido los correos electr\u00f3nicos anteriores y si descargar\u00edan los archivos”, dijeron los investigadores.<\/p>\n

Proofpoint dijo que tambi\u00e9n observ\u00f3 que un archivo HTML se distribuye directamente como un archivo adjunto a los mensajes de phishing. En esta variaci\u00f3n del ataque, se instruye a la v\u00edctima que haga clic en un enlace incrustado en el archivo HTML, lo que resulta en la descarga de un archivo zip que incluye un PDF benigno y un archivo de acceso directo de Windows (LNK).<\/p>\n

Cuando se ejecuta el LNK, ejecuta PowerShell codificado Base64 para soltar un archivo codificado JavaScript llamado “themes.jse” utilizando un script de Visual Basic. El malware JSE, a su vez, contacta una URL controlada por el atacante y ejecuta la respuesta del servidor a trav\u00e9s de PowerShell. Actualmente no se conoce la naturaleza exacta de la carga \u00fatil.<\/p>\n

Adem\u00e1s, TA406 ha sido visto intentando cosechar credenciales enviando mensajes falsos de alerta de seguridad de Microsoft a entidades gubernamentales ucranianas de cuentas de protones, advirti\u00e9ndoles sobre una actividad de inicio de sesi\u00f3n sospechosa de direcciones IP ubicadas en los Estados Unidos e inst\u00e1ndolas a verificar el inicio de sesi\u00f3n visitando un enlace.<\/p>\n

Si bien la p\u00e1gina de recolecci\u00f3n de credenciales no se ha recuperado, el mismo dominio comprometido<\/a> Se dice que se utiliz\u00f3 en el pasado para recopilar informaci\u00f3n de inicio de sesi\u00f3n de Naver.<\/p>\n

“Estas campa\u00f1as de recolecci\u00f3n de credenciales tuvieron lugar antes de los intentos de implementaciones de malware y se dirigieron a algunos de los mismos usuarios m\u00e1s tarde dirigidos a la campa\u00f1a de entrega HTML”, dijo Proofpoint. “TA406 es muy probable que recolecte inteligencia para ayudar al liderazgo de Corea del Norte a determinar el riesgo actual para sus fuerzas que ya est\u00e1n en el teatro, as\u00ed como la probabilidad de que Rusia solicite m\u00e1s tropas o armamentos”.<\/p>\n

“A diferencia de los grupos rusos que probablemente han tenido la tarea de recopilar informaci\u00f3n t\u00e1ctica en el campo de batalla y la orientaci\u00f3n de las fuerzas ucranianas in situ, TA406 se ha centrado t\u00edpicamente en esfuerzos m\u00e1s estrat\u00e9gicos de recolecci\u00f3n de inteligencia pol\u00edtica”.<\/p>\n

\"\"<\/a><\/div>\n

La divulgaci\u00f3n se produce como ha sido el grupo Konni vinculado<\/a> a una sofisticada campa\u00f1a de malware de m\u00faltiples etapas dirigidas a entidades en Corea del Sur con archivos zip que contienen archivos LNK, que ejecutan scripts de PowerShell para extraer un archivo de cabina y, en \u00faltima instancia, entregar un malware de script por lotes capaz de recopilar datos confidenciales y exfiltrarse a un servidor remoto.<\/p>\n

Los hallazgos tambi\u00e9n encajan phisching<\/a> campa\u00f1as<\/a> Orquestado por Kimsuky para atacar a las agencias gubernamentales en Corea del Sur entregando un malware de robador capaz de establecer comunicaciones de comando y control (C2 o C&C) y exfiltrando archivos, datos del navegador web e informaci\u00f3n de billetera de criptomonedas.<\/p>\n

\"\"<\/a><\/div>\n

Seg\u00fan la compa\u00f1\u00eda de ciberseguridad de Corea del Sur, AhnLab, tambi\u00e9n se ha observado a Kimsuky propagando a Pebbledash como parte de una secuencia de infecci\u00f3n en varias etapas iniciada a trav\u00e9s de Spear-Phishing. El troyano fue atribuido por el gobierno de los Estados Unidos al grupo L\u00e1zaro en mayo de 2020.<\/p>\n

“Si bien el grupo Kimsuky utiliza varios tipos de malware, en el caso de Pebbledash, ejecutan malware basado en un archivo LNK por phishing en la etapa de acceso inicial para lanzar sus ataques” dicho<\/a>.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“Luego utilizan un script de PowerShell para crear un programador de tareas y registrarlo para la ejecuci\u00f3n autom\u00e1tica. A trav\u00e9s de la comunicaci\u00f3n con un servidor C&C basado en Socket Dropbox y TCP, el grupo instala m\u00faltiples malware y herramientas, incluido Pebbledash”.<\/p>\n

Konni y Kimsuky est\u00e1n lejos de ser los \u00fanicos actores de amenaza de Corea del Norte que se centran en Se\u00fal. Tan recientemente como marzo de 2025, se ha encontrado que las entidades surcoreanas est\u00e1n en el extremo receptor de otra campa\u00f1a llevada a cabo por APT37, que tambi\u00e9n se conoce como escorria.<\/p>\n

Doblada la Operaci\u00f3n Toybox Story, los ataques de phishing spear seleccionaron a varios activistas centrados en Corea del Norte, seg\u00fan el Centro de Seguridad Genians (GSC). El primer ataque de phishing de lanza observado ocurri\u00f3 el 8 de marzo de 2025.<\/p>\n

“El correo electr\u00f3nico conten\u00eda un enlace de Dropbox que conduce a un archivo comprimido que inclu\u00eda un archivo de acceso directo malicioso (LNK)”, la compa\u00f1\u00eda surcoreana dicho<\/a>. “Cuando se extrae y ejecut\u00f3, el archivo LNK activ\u00f3 malware adicional que contiene la palabra clave ‘juguete'”.<\/p>\n

\"\"<\/a><\/div>\n

Los archivos LNK est\u00e1n configurados para iniciar un archivo HWP se\u00f1uelo y ejecutar comandos de PowerShell, lo que lleva a la ejecuci\u00f3n de archivos llamados Toy03.bat, Toy02.bat y Toy01.bat (en ese orden), el \u00faltimo de los cuales contiene ShellCode para lanzar Rokrat, un malware b\u00e1sico asociado con APT37.<\/p>\n

Rokrat est\u00e1 equipado para recopilar informaci\u00f3n del sistema, capturar capturas de pantalla y usar tres servicios en la nube diferentes, incluidos PCloud, Yandex y Dropbox para C2.<\/p>\n

“Los actores de amenaza explotaron los servicios leg\u00edtimos en la nube como infraestructura C2 y continuaron modificando archivos de acceso directo (LNK) mientras se enfocaban en t\u00e9cnicas de ataque sin filos para evadir la detecci\u00f3n por el software antivirus instalado en los puntos finales objetivo”, dijo los genianos.<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n