{"id":635146,"date":"2023-02-20T19:25:33","date_gmt":"2023-02-20T19:25:33","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-grupo-de-ciberespionaje-earth-kitsune-despliega-la-puerta-trasera-whiskerspy-en-los-ultimos-ataques\/"},"modified":"2023-02-20T19:25:35","modified_gmt":"2023-02-20T19:25:35","slug":"el-grupo-de-ciberespionaje-earth-kitsune-despliega-la-puerta-trasera-whiskerspy-en-los-ultimos-ataques","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-grupo-de-ciberespionaje-earth-kitsune-despliega-la-puerta-trasera-whiskerspy-en-los-ultimos-ataques\/","title":{"rendered":"El grupo de ciberespionaje Earth Kitsune despliega la puerta trasera WhiskerSpy en los \u00faltimos ataques"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>El actor de amenazas de espionaje cibern\u00e9tico rastreado como <strong>Kitsune de tierra<\/strong> se ha observado el despliegue de una nueva puerta trasera llamada <b>BigoteEsp\u00eda<\/b> como parte de una campa\u00f1a de ingenier\u00eda social.<\/p>\n<p>Se sabe que Earth Kitsune, activo desde al menos 2019, se dirige principalmente a personas interesadas en Corea del Norte con malware de desarrollo propio, como dneSpy y agfSpy.  Las intrusiones previamente documentadas implicaron el uso de pozos de agua que aprovechan las vulnerabilidades del navegador en Google Chrome e Internet Explorer para activar la cadena de infecci\u00f3n.<\/p>\n<p>El factor diferenciador en los \u00faltimos ataques es un cambio a la ingenier\u00eda social para enga\u00f1ar a los usuarios para que visiten sitios web comprometidos relacionados con Corea del Norte, seg\u00fan un nuevo informe de Trend Micro publicado la semana pasada.<\/p>\n<p>La compa\u00f1\u00eda de seguridad cibern\u00e9tica dijo que el sitio web de una organizaci\u00f3n pro-norcoreana an\u00f3nima fue pirateado y modificado para distribuir el implante WhiskerSpy.  El compromiso fue descubierto a finales del a\u00f1o pasado.<\/p>\n<p>&#8220;Cuando un visitante objetivo intenta ver videos en el sitio web, un script malicioso inyectado por el atacante muestra un mensaje que notifica a las v\u00edctimas con un error de c\u00f3dec de video para tentarlos a descargar e instalar un instalador de c\u00f3dec troyano&#8221;, los investigadores Joseph C Chen y Jaromir Horejsi <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/23\/b\/earth-kitsune-delivers-new-whiskerspy-backdoor.html\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>Se dice que el script con trampa explosiva se inyect\u00f3 en las p\u00e1ginas de video del sitio web, con el instalador (&#8220;Codec-AVC1.msi&#8221;) posteriormente empleado para cargar WhiskerSpy.<\/p>\n<p>Pero el ataque tambi\u00e9n exhibe algunos trucos inteligentes en un intento de eludir la detecci\u00f3n.  Esto implica entregar el script malicioso solo a aquellos visitantes cuyas direcciones IP coincidan con criterios espec\u00edficos:<\/p>\n<ul>\n<li>Una subred de direcci\u00f3n IP ubicada en Shenyang, China<\/li>\n<li>Una direcci\u00f3n IP espec\u00edfica ubicada en Nagoya, Jap\u00f3n, y<\/li>\n<li>Una subred de direcci\u00f3n IP ubicada en Brasil<\/li>\n<\/ul>\n<p>Trend Micro se\u00f1al\u00f3 que las direcciones IP objetivo en Brasil pertenecen a un servicio VPN comercial y que el actor de amenazas puede haber &#8220;usado este servicio VPN para probar el despliegue de sus ataques de abrevadero&#8221;.<\/p>\n<p>La persistencia se logra mediante <a rel=\"nofollow noopener\" href=\"https:\/\/www.bitdefender.com\/blog\/labs\/side-loading-onedrive-for-profit-cryptojacking-campaign-detected-in-the-wild\/\" target=\"_blank\">abusando<\/a> una vulnerabilidad de secuestro de Dynamic Library Link (DLL) en OneDrive o a trav\u00e9s de una extensi\u00f3n maliciosa de Google Chrome que emplea <a rel=\"nofollow noopener\" href=\"https:\/\/developer.chrome.com\/docs\/apps\/nativeMessaging\/\" target=\"_blank\">API de mensajer\u00eda nativa<\/a> para ejecutar la carga \u00fatil cada vez que se inicia el navegador web.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/02\/1676921133_1_El-grupo-de-ciberespionaje-Earth-Kitsune-despliega-la-puerta-trasera.png\" alt=\"Espionaje cibern\u00e9tico\" border=\"0\" data-original-height=\"600\" data-original-width=\"728\" title=\"Espionaje cibern\u00e9tico\"\/><\/div>\n<p>La puerta trasera WhiskerSpy, al igual que otros programas maliciosos de este tipo, viene con capacidades para eliminar, enumerar, descargar y cargar archivos, tomar capturas de pantalla, inyectar shellcode, cargar ejecutables arbitrarios.<\/p>\n<p>&#8220;Earth Kitsune domina sus habilidades t\u00e9cnicas y est\u00e1 continuamente desarrollando sus herramientas, t\u00e1cticas y procedimientos&#8221;, dijeron los investigadores.<\/p>\n<h3>Earth Yako ataca sectores acad\u00e9micos y de investigaci\u00f3n en Jap\u00f3n<\/h3>\n<p>Earth Kitsune no es el \u00fanico actor de amenazas que persigue objetivos japoneses, ya que la compa\u00f1\u00eda de ciberseguridad tambi\u00e9n detall\u00f3 otro conjunto de intrusiones con nombre en c\u00f3digo <strong>Tierra Yako<\/strong> llamativas organizaciones de investigaci\u00f3n y think tanks del pa\u00eds.<\/p>\n<p>La actividad, observada recientemente en enero de 2023, es una continuaci\u00f3n de una campa\u00f1a conocida anteriormente denominada <a rel=\"nofollow noopener\" href=\"https:\/\/insight-jp.nttsecurity.com\/post\/102hojk\/operation-restylink-apt-campaign-targeting-japanese-companies\" target=\"_blank\">Operaci\u00f3n RestyLink<\/a>.  Un subconjunto de los ataques tambi\u00e9n se dirigi\u00f3 a entidades ubicadas en Taiw\u00e1n.<\/p>\n<p>&#8220;El conjunto de intrusos introdujo nuevas herramientas y malware en un corto per\u00edodo de tiempo, cambiando y ampliando con frecuencia sus objetivos de ataque&#8221;, Trend Micro <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/23\/b\/invitation-to-secret-event-uncovering-earth-yako-campaigns.html\" target=\"_blank\">dicho<\/a>se\u00f1alando el modus operandi de Earth Yako de &#8220;cambiar activamente sus objetivos y m\u00e9todos&#8221;.<\/p>\n<p>El punto de partida es un correo electr\u00f3nico de spear-phishing que se hace pasar por invitaciones a eventos p\u00fablicos.  Los mensajes contienen una URL maliciosa que apunta a una carga \u00fatil que, a su vez, es responsable de descargar el malware en el sistema.<\/p>\n<p>Los ataques tambi\u00e9n se caracterizan por un tesoro de herramientas personalizadas que incluyen droppers (PULink), loaders (Dulload, MirrorKey), stagers (ShellBox) y puertas traseras (PlugBox, TransBox).<\/p>\n<p>PlugBox, ShellBox y TransBox, como su nombre lo indica, aprovechan las API de Dropbox para recuperar malware de pr\u00f3xima etapa desde un servidor remoto codificado en un repositorio de GitHub, recibir comandos y recopilar y filtrar datos.<\/p>\n<p>Los or\u00edgenes exactos de Earth Yako siguen siendo desconocidos, pero Trend Micro dijo que identific\u00f3 superposiciones t\u00e9cnicas parciales entre el grupo y otros actores de amenazas como Darkhotel, APT10 (tambi\u00e9n conocido como Stone Panda) y APT29 (tambi\u00e9n conocido como Cozy Bear o Nobelium).<\/p>\n<p>&#8220;Una de las caracter\u00edsticas de los ataques dirigidos recientes es que se dirigieron a personas que se consideraba que ten\u00edan medidas de seguridad relativamente d\u00e9biles en comparaci\u00f3n con las empresas y otras organizaciones&#8221;, dijo la compa\u00f1\u00eda.<\/p>\n<p>&#8220;Este cambio para enfocarse en personas en lugar de empresas se destaca por la orientaci\u00f3n y el abuso de Dropbox, ya que se considera un servicio popular en la regi\u00f3n entre los usuarios para uso personal, pero no para las organizaciones&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/02\/north-korean-cyber-espionage-group.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>El actor de amenazas de espionaje cibern\u00e9tico rastreado como Kitsune de tierra se ha observado el despliegue de<\/p>\n","protected":false},"author":1,"featured_media":635147,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,2346,4661,71863,4664,16896,25237,4662,2386,147819,4668,4667,36,4654,4658,4659,4653,4655,4663,1732,4666,4665,7157,1426,4660,147820],"class_list":["post-635146","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques","tag-ataques-ciberneticos","tag-ciberespionaje","tag-como-hackear","tag-despliega","tag-earth","tag-filtracion-de-datos","tag-grupo","tag-kitsune","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-programa-malicioso-ransomware","tag-puerta","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-trasera","tag-ultimos","tag-vulnerabilidad-de-software","tag-whiskerspy"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/635146","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=635146"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/635146\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/635147"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=635146"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=635146"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=635146"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}