El actor de amenaza vinculado a Corea del Norte conocido como Kimsuky se ha observado utilizando una nueva táctica que implica engañar a los objetivos para ejecutar PowerShell como administrador y luego instruirles a pegar y ejecutar código malicioso proporcionado por ellos.
«Para ejecutar esta táctica, el actor de amenazas se disfraza de un funcionario del gobierno surcoreano y con el tiempo construye una relación con un objetivo antes de enviar un correo electrónico de phishing con un archivo adjunto (sic) PDF», dijo el equipo de inteligencia de amenazas de Microsoft en una serie de Publicaciones compartidas en X.
Para leer el supuesto documento PDF, las víctimas están persuadidas para hacer clic en una URL que contiene una lista de pasos para registrar su sistema Windows. El enlace de registro los insta a lanzar PowerShell como administrador y copiar/pegar el fragmento del código mostrado en el terminal, y ejecutarlo.
Si la víctima continúa, el código malicioso descarga e instala una herramienta de escritorio remoto basada en navegador, junto con un archivo de certificado con un PIN codificado desde un servidor remoto.
«El código luego envía una solicitud web a un servidor remoto para registrar el dispositivo de víctima utilizando el certificado descargado y el PIN. Esto permite al actor de amenaza acceder al dispositivo y llevar a cabo la exfiltración de datos», dijo Microsoft.
El gigante de la tecnología dijo que observó el uso de este enfoque en ataques limitados desde enero de 2025, describiéndolo como una desviación de la artesanía habitual del actor de amenaza.
Vale la pena señalar que el Kimsuky no es el único equipo de piratería de Corea del Norte en adoptar la estrategia de compromiso. En diciembre de 2024, se reveló que los actores de amenaza vinculados a la campaña de entrevistas contagiosas están engañando a los usuarios para que copien y ejecute un comando malicioso en sus sistemas de Apple Macos a través de la aplicación Terminal para abordar un supuesto problema con el acceso a la cámara y el micrófono a través del micrófono a través del micrófono navegador web.
Tales ataques, junto con aquellos que han adoptado el llamado método ClickFix, han despegado a lo grande en los últimos meses, en parte impulsados por el hecho de que confían en los objetivos para infectar sus propias máquinas, sin pasar por alto las protecciones de seguridad.
La mujer de Arizona se declara culpable de correr una granja de computadoras portátiles para trabajadores de TI de Corea del Norte
El desarrollo se produce cuando el Departamento de Justicia de los Estados Unidos (DOJ) dijo que una mujer de 48 años del estado de Arizona se declaró culpable de su papel en el esquema de trabajadores de TI fraudulentos que permitió a los actores de amenaza de Corea del Norte obtener trabajos remotos en más de 300 Empresas estadounidenses haciéndose pasar por ciudadanos y residentes estadounidenses.
La actividad generó más de $ 17.1 millones en ingresos ilícitos para Christina Marie Chapman y para Corea del Norte en violación de las sanciones internacionales entre octubre de 2020 y octubre de 2023, dijo el departamento.
«Chapman, un ciudadano estadounidense, conspiró con trabajadores de TI en el extranjero desde octubre de 2020 hasta octubre de 2023 para robar las identidades de los nacionales estadounidenses y usó esas identidades para solicitar trabajos de TI remotos y, para promover el esquema, transmitieron documentos falsos al Departamento de Seguridad nacional «, dijo el Departamento de Justicia.
«Chapman y sus coconspiradores obtuvieron empleos en cientos de empresas estadounidenses, incluidas las corporaciones Fortune 500, a menudo a través de empresas de personal temporales u otras organizaciones de contratación».
El acusado, que fue arrestado en mayo de 2024, también ha sido acusado de ejecutar una granja de computadoras portátiles al organizar múltiples computadoras portátiles en su residencia para dar la impresión de que los trabajadores norcoreanos estaban trabajando desde el país, cuando, en realidad, se basaron. en China y Rusia y se conectó remotamente con los sistemas internos de las empresas.
«Como resultado de la conducta de Chapman y sus conspiradores, más de 300 compañías estadounidenses se vieron afectadas, más de 70 identidades de personas estadounidenses se vieron comprometidas, en más de 100 ocasiones se transmitió información falsa al DHS, y más de 70 individuos de EE. UU. Pasivos fiscales falsos creados en su nombre «, agregó el Departamento de Justicia.
El aumento del escrutinio de la aplicación de la ley ha llevado a una escalada del esquema de trabajadores de TI, con informes que surgen de la exfiltración y extorsión de datos.
«Después de ser descubiertos en las redes de empresas, los trabajadores de TI de Corea del Norte han extorsionado a las víctimas al mantener datos propietarios y de código robados hasta que las empresas cumplan con las demandas de rescate», dijo la Oficina Federal de Investigación de los Estados Unidos (FBI) en un asesoramiento el mes pasado. «En algunos casos, los trabajadores de TI de Corea del Norte han publicado públicamente el código de propiedad de las compañías de víctimas».