Los actores de amenaza de Corea del Norte se han atribuido a una campaña coordinada de ciber espionaje dirigido a misiones diplomáticas en su contraparte del sur entre marzo y julio de 2025.
La actividad se manifestó en forma de al menos 19 correos electrónicos de phishing de lanza que se esforzó con los contactos diplomáticos de confianza con el objetivo de atraer al personal de la embajada y al personal del Ministerio de Relaciones Exteriores con invitaciones convincentes de reuniones, cartas oficiales e invitaciones de eventos.
«Los atacantes aprovecharon GitHub, típicamente conocido como una plataforma de desarrollador legítimo, como un canal encubierto de comando y control», dijeron los investigadores de Trellix Pham Duy Phuc y Alex Lanstein.
Se ha observado que las cadenas de infección se basan en soluciones de almacenamiento de nube confiables como Dropbox y Daum Cloud, un servicio en línea del conglomerado de Internet de Corea del Sur Kakao Corporation, para entregar una variante de un troyano de acceso remoto de código abierto llamado Xeno RAT que otorga a los actores de amenaza a tomar el control de los sistemas comprometidos.
Se evalúa que la campaña es el trabajo de un grupo de piratería de Corea del Norte llamado Kimsuky, que recientemente se vinculó a los ataques de phishing que emplean a Github como un stager para una rata xeno conocida como MoonPeak. A pesar de la infraestructura y las superposiciones tácticas, hay indicios de que los ataques de phishing coinciden con los operativos con sede en China.
Los mensajes de correo electrónico, según Trellix, están cuidadosamente diseñados para parecer legítimos, a menudo falsificando diplomáticos o funcionarios reales para atraer a los destinatarios a abrir archivos maliciosos protegidos con contraseña alojados en Dropbox, Google Drive o DAUM. Los mensajes están escritos en coreano, inglés, persa, árabe, francés y ruso.
«El contenido de phishing de lanza fue cuidadosamente elaborado para imitar la correspondencia diplomática legítima», dijo Trellix. «Muchos correos electrónicos incluyeron firma oficial, terminología diplomática y referencias a eventos reales (por ejemplo, cumbres, foros o reuniones)».
«Los atacantes se hicieron pasar por entidades de confianza (embajadas, ministerios, organizaciones internacionales), una táctica Kimsuky de larga data. Al cronometrar estratégicamente los señuelos junto con los acontecimientos diplomáticos reales, mejoraron la credibilidad».
Presente dentro del archivo ZIP se encuentra un atajo de Windows (LNK) disfrazado de un documento PDF, que se lanza lo que resulta en la ejecución del código PowerShell que, a su vez, ejecuta una carga útil integrada, que se extiende a GitHub para obtener malware de la próxima etapa y establece la persistencia a través de las tareas programadas. Paralelamente, se muestra un documento de señuelo a las víctimas.
El script también está diseñado para recolectar información del sistema y exfiltrar los detalles a un repositorio privado de GitHub controlado por el atacante, al tiempo que recupera las cargas útiles adicionales simultáneamente al analizar el contenido de un archivo de texto («Onf.txt») en el repositorio para extraer la URL de Dropbox que aloja el troyano de luna.
«Simplemente actualizando onf.txt en el repositorio (señalando un nuevo archivo de Dropbox), los operadores podrían girar las cargas útiles a las máquinas infectadas», explicó Trellix.
«También practicaron la rotación de la infraestructura ‘rápida’: los datos de registro sugieren que la carga útil OFX.TXT se actualizó varias veces en una hora para implementar malware y eliminar trazas después del uso. Este rápido ciclo de actualización, combinado con el uso de infraestructura en la nube, ayudó a las actividades maliciosas a volar bajo el radar».
Curiosamente, el análisis del tiempo de la actividad de los atacantes de la compañía de seguridad cibernética ha encontrado que se origina en gran medida de una zona horaria que es consistente con China, con una proporción menor que se alinea con la de las Coreas. Para agregar a la intriga, se observó una «pausa perfecta de 3 días» coincidiendo con las vacaciones nacionales chinas a principios de abril de 2025, pero no durante las vacaciones de Corea del Norte o del Sur.
Esto ha planteado la posibilidad de que la campaña, reflejando la cadencia operativa china mientras opera con motivos que se alinean con Corea del Norte, es probablemente el resultado de –
- Operativos de Corea del Norte que trabajan desde territorio chino
- Una operación de apartamento china que imita las técnicas Kimsuky, o
- Un esfuerzo de colaboración aprovechando los recursos chinos para los esfuerzos de recopilación de inteligencia de Corea del Norte
Con los actores cibernéticos de Corea del Norte con frecuencia estacionados en China y Rusia, como se observa en el caso del esquema de fraude de trabajadores de la tecnología de la información remota (TI), Trellix dijo con media confianza que los operadores están operando desde China o son culturalmente chinos.
«El uso de servicios e infraestructura coreanos probablemente fue intencional para combinarse con la red de Corea del Sur», dijo Trellix. «Es un rasgo de Kimsuky conocido para operar desde el espacio de propiedad intelectual china y rusa mientras se dirige a Corea del Sur, a menudo utilizando servicios coreanos para enmascarar su tráfico como legítimo».
El esquema de trabajadores de TI de Corea del Norte se infiltra en cientos de empresas
La divulgación se produce cuando CrowdStrike reveló que ha identificado más de 320 incidentes en los últimos 12 meses en los que los norcoreanos que se hacen pasar por trabajadores de TI remotos se han infiltrado en empresas para generar ingresos ilícitos para el régimen, un salto del 220% desde el año pasado.
Se cree que el esquema de trabajadores de TI, rastreado como famosos Chollima y Jasper Sleet, utiliza asistentes de codificación de inteligencia artificial generativa (Genai) como Microsoft Copilot o Vscodium y herramientas de traducción para ayudar a ayudar con sus tareas diarias y responder a mensajes y correos electrónicos instantáneos. También es probable que trabajen tres o cuatro trabajos simultáneamente.
Un componente crucial de estas operaciones abarca el reclutamiento de personas para administrar granjas portátiles, que incluyen bastidores de computadoras portátiles corporativas utilizadas por los norcoreanos para hacer su trabajo de forma remota utilizando herramientas como Anydesk como si estuvieran ubicados físicamente en el país donde se encuentran las empresas.
«Los famosos trabajadores de TI de Chollima usan Genai para crear atractivos currículums para las empresas, según los informes, usan tecnología de profundidad en tiempo real para enmascarar sus verdaderas identidades en entrevistas en video y aprovechar las herramientas de código de IA para ayudar en sus deberes laborales, todos los cuales plantean un desafío sustancial para las defensas de seguridad tradicionales», dijo la compañía.
 |
| El uso de Genai de famosos Chollima en operaciones de amenazas internas | Fuente de la imagen: Crowdstrike |
Además, una filtración de 1.389 direcciones de correo electrónico vinculadas a los trabajadores de TI ha descubierto que 29 de los 63 proveedores de servicios de correo electrónico únicos son herramientas en línea que permiten a los usuarios crear direcciones de correo electrónico temporales o desechables, mientras que otros seis están relacionados con servicios centrados en la privacidad como Skiff, Proton Mail y SimpleLogin. Casi el 89% de las direcciones de correo electrónico son cuentas de Gmail.
«Todas las cuentas de Gmail están vigiladas con Google Authenticator, 2FA y Correo electrónico de copia de seguridad de recuperación», dijo el investigador de seguridad Rakesh Krishnan. «Muchos nombres de usuario incluyen términos como desarrollador, código, codificador, tecnología, software, indicando un enfoque de tecnología o programación».
Algunas de estas direcciones de correo electrónico están presentes en una fuga de bases de datos de usuarios de la herramienta de edición de fotos de IA recorte.