La ligada a Corea del Norte ScarCruft<\/strong> grupo se ha atribuido a una puerta trasera no documentada previamente llamada Delf\u00edn<\/b> que el actor de amenazas ha utilizado contra objetivos ubicados en su contraparte del sur.<\/p>\n “La puerta de atr\u00e1s […] tiene una amplia gama de capacidades de espionaje, que incluyen el monitoreo de unidades y dispositivos port\u00e1tiles y la filtraci\u00f3n de archivos de inter\u00e9s, el registro de teclas y la toma de capturas de pantalla, y el robo de credenciales de los navegadores”, dijo Filip Jur\u010dacko, investigador de ESET. dijo<\/a> en un nuevo informe publicado hoy.<\/p>\n Se dice que Dolphin se implementa de forma selectiva, con el malware utilizando servicios en la nube como Google Drive para la exfiltraci\u00f3n de datos, as\u00ed como para el comando y control.<\/p>\n La compa\u00f1\u00eda eslovaca de ciberseguridad dijo que encontr\u00f3 el implante desplegado como carga \u00fatil de etapa final como parte de un ataque de abrevadero a principios de 2021 dirigido contra un peri\u00f3dico digital de Corea del Sur.<\/p>\n La campa\u00f1a, descubierta por primera vez por kaspersky<\/a> y Volexity el a\u00f1o pasado, implic\u00f3 el uso de armas de dos fallas de Internet Explorer (CVE-2020-1380<\/a> y CVE-2021-26411<\/a>) para soltar una puerta trasera llamada BLUELIGHT.<\/p>\n ScarCruft, tambi\u00e9n llamado APT37, InkySquid, Reaper y Ricochet Chollima, es un grupo APT motivado geopol\u00edticamente que tiene un historial de ataques a entidades gubernamentales, diplom\u00e1ticos y organizaciones de noticias asociadas con asuntos de Corea del Norte. Se sabe que est\u00e1 activo desde al menos 2012.<\/p>\n A principios de abril, la firma de seguridad cibern\u00e9tica Stairwell revel\u00f3 detalles de un ataque de phishing dirigido a periodistas que cubren el pa\u00eds con el objetivo final de implementar un malware denominado GOLDBACKDOOR que comparte superposiciones con otra puerta trasera de ScarCruft llamada BLUELIGHT.<\/p>\n Los \u00faltimos hallazgos de ESET arrojan luz sobre una segunda puerta trasera m\u00e1s sofisticada entregada a un peque\u00f1o grupo de v\u00edctimas a trav\u00e9s de BLUELIGHT, indicativo de una operaci\u00f3n de espionaje altamente dirigida.<\/p>\n Esto, a su vez, se logra mediante la ejecuci\u00f3n de un shellcode instalador que activa un cargador que comprende un componente de Python y shellcode, el \u00faltimo de los cuales ejecuta otro cargador de shellcode para eliminar la puerta trasera.<\/p>\n “Mientras que la puerta trasera BLUELIGHT realiza un reconocimiento b\u00e1sico y una evaluaci\u00f3n de la m\u00e1quina comprometida despu\u00e9s de la explotaci\u00f3n, Dolphin es m\u00e1s sofisticado y se implementa manualmente solo contra v\u00edctimas seleccionadas”, explic\u00f3 Jur\u010dacko.<\/p>\n Lo que hace que Dolphin sea mucho m\u00e1s potente que BLUELIGHT es su capacidad para buscar dispositivos extra\u00edbles y filtrar archivos de inter\u00e9s, como medios, documentos, correos electr\u00f3nicos y certificados.<\/p>\n Se dice que la puerta trasera, desde su descubrimiento original en abril de 2021, ha pasado por tres iteraciones sucesivas que vienen con su propio conjunto de mejoras de caracter\u00edsticas y le otorgan m\u00e1s capacidades de evasi\u00f3n de detecci\u00f3n.<\/p>\n “Dolphin es otra adici\u00f3n al extenso arsenal de puertas traseras de ScarCruft que abusan de los servicios de almacenamiento en la nube”, dijo Jur\u010dacko. “Una capacidad inusual que se encuentra en versiones anteriores de la puerta trasera es la capacidad de modificar la configuraci\u00f3n de las cuentas de Google y Gmail de las v\u00edctimas para reducir su seguridad, presumiblemente para mantener el acceso a la cuenta para los atacantes”.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEjRFZ8qsBvgTY-k97x35shkWsLwy9nml2qvGAhoSUrgnOv4cjMNq_Fxt3PX1-fGsYvukFgecZk_tEq7yo25JhDC5-Vs1Y7zQbdJRNWI2oxxbGupTJLIJ0PYz_4_8B6uWYsPON_7MgJlvofZuiWyadFpo71DOfXvGZzq6ie6zFQwJuzi2macqFLGR30PbA\/s1600\/Uptycs-728.jpg\")
<\/a><\/center><\/div>\n![\"Hackers](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/1669838363_540_Los-piratas-informaticos-de-Corea-del-Norte-utilizan-nuevos-quotDelfinquot.png\" "\\"Hackers")
<\/div>\n