El actor de amenazas norcoreano conocido como Kimsuky ha sido vinculado a una nueva campaña que distribuye una nueva variante de malware para Android llamada Intercambio de documentos a través de códigos QR alojados en sitios de phishing que imitan a la empresa de logística CJ Logistics (anteriormente CJ Korea Express), con sede en Seúl.
«El actor de la amenaza aprovechó los códigos QR y las notificaciones emergentes para atraer a las víctimas a instalar y ejecutar el malware en sus dispositivos móviles», dijo ENKI. «La aplicación maliciosa descifra un APK cifrado integrado y lanza un servicio malicioso que proporciona capacidades RAT».
«Dado que Android bloquea aplicaciones de fuentes desconocidas y muestra advertencias de seguridad de forma predeterminada, el actor de amenazas afirma que la aplicación es una versión oficial segura para engañar a las víctimas para que ignoren la advertencia e instalen el malware».
Según la empresa de ciberseguridad de Corea del Sur, algunos de estos artefactos se hacen pasar por aplicaciones de servicios de entrega de paquetes. Se está evaluando que los actores de amenazas están utilizando mensajes de texto de smishing o correos electrónicos de phishing haciéndose pasar por empresas de entrega para engañar a los destinatarios para que hagan clic en URL con trampas explosivas que albergan las aplicaciones.
Un aspecto digno de mención del ataque es su redirección móvil basada en códigos QR, que solicita a los usuarios que visitan las URL desde una computadora de escritorio que escaneen un código QR que se muestra en la página en su dispositivo Android para instalar la supuesta aplicación de seguimiento de envíos y buscar el estado.
El código QR está diseñado para redirigir al usuario a un script «tracking.php» que implementa lógica del lado del servidor para verificar la cadena User-Agent del navegador y mostrar un mensaje instándolo a instalar un módulo de seguridad con el pretexto de verificar su identidad debido a supuestas «políticas de seguridad aduaneras internacionales».
Si la víctima procede a instalar la aplicación, se descarga un paquete APK («SecDelivery.apk») del servidor («27.102.137(.)181»). Luego, el archivo APK descifra y carga un APK cifrado integrado en sus recursos para iniciar la nueva versión de DocSwap, no sin antes asegurarse de que ha obtenido el permiso necesario para leer y administrar el almacenamiento externo, acceder a Internet e instalar paquetes adicionales.
«Una vez que confirma todos los permisos, registra inmediatamente el MainService del APK recién cargado como ‘com.delivery.security.MainService'», dijo ENKI. «Simultáneamente con el registro del servicio, la aplicación base inicia AuthActivity. Esta actividad se hace pasar por una pantalla de autenticación OTP y verifica la identidad del usuario utilizando un número de entrega».
El número de envío está codificado dentro del APK como «742938128549» y probablemente se entrega junto con la URL maliciosa durante la fase de acceso inicial. Una vez que el usuario ingresa el número de entrega proporcionado, la aplicación se configura para generar un código de verificación aleatorio de seis dígitos y mostrarlo como una notificación, luego de lo cual se le solicita que ingrese el código generado.
Tan pronto como se proporciona el código, la aplicación abre un WebView con la URL legítima «www.cjlogistics(.)com/ko/tool/parcel/tracking», mientras, en segundo plano, el troyano se conecta a un servidor controlado por el atacante («27.102.137(.)181:50005») y recibe hasta 57 comandos que le permiten registrar pulsaciones de teclas, capturar audio, iniciar/detener la grabación de la cámara, realizar operaciones con archivos, ejecutar comandos, cargar/descargar archivos y recopilar ubicación, mensajes SMS, contactos, registros de llamadas y una lista de aplicaciones instaladas.
ENKI dijo que también descubrió otras dos muestras disfrazadas de una aplicación P2B Airdrop y una versión troyanizada de un programa VPN legítimo llamado BYCOM VPN («com.bycomsolutions.bycomvpn») que está disponible en Google Play Store y desarrollado por una empresa india de servicios de TI llamada Bycom Solutions.
«Esto indica que el actor de la amenaza inyectó una funcionalidad maliciosa en el APK legítimo y lo volvió a empaquetar para usarlo en el ataque», añadió la empresa de seguridad.
Un análisis más detallado de la infraestructura de los actores de amenazas ha descubierto sitios de phishing que imitan plataformas surcoreanas como Naver y Kakao que buscan capturar las credenciales de los usuarios. A su vez, se ha descubierto que estos sitios comparten superposiciones con una campaña anterior de recolección de credenciales de Kimsuky dirigida a los usuarios de Naver.
«El malware ejecutado lanza un servicio RAT, similar a casos anteriores, pero demuestra capacidades evolucionadas, como el uso de una nueva función nativa para descifrar el APK interno y la incorporación de diversos comportamientos señuelo», dijo ENKI.
Kimsuky abandona KimJongRAT mediante un ataque de phishing
La divulgación se produce cuando el grupo de hackers Kimsuky ha sido atribuido a una campaña de phishing que utiliza señuelos con temas fiscales para distribuir un troyano de acceso remoto de Windows conocido como KimJongRAT mediante archivos adjuntos ZIP que contienen un acceso directo de Windows (LNK).
El archivo LNK está disfrazado de documento PDF que, cuando se abre, utiliza «mshta.exe» para ejecutar una carga útil de aplicación HTML (HTA). El malware HTA actúa como un cargador para descargar y mostrar un PDF señuelo y al mismo tiempo deja caer la carga útil RAT para recopilar y transmitir periódicamente información del usuario.
Esto incluye metadatos del sistema, así como información de navegadores web, docenas de extensiones de billeteras de criptomonedas, certificados de Telegram, Discord y NPKI/GPKI, un servicio de certificado de firma digital utilizado para la banca en línea en Corea del Sur.
Según una evaluación organizacional publicada por DTEX, Kimsuky es parte de la Oficina General de Reconocimiento (RGB), que también alberga varios grupos de amenazas responsables de realizar atracos de criptomonedas y ciberespionaje, un grupo paraguas ampliamente conocido como Grupo Lazarus.
Se sabe que Kimsuky y Lazarus Group demuestran altos niveles de coordinación, compartiendo infraestructura e inteligencia de ataques a pesar de sus roles dispares en el aparato cibernético de Corea del Norte. En al menos un incidente dirigido a una empresa de blockchain de Corea del Sur, se cree que Kimusky obtuvo primero acceso inicial a través de un ataque de phishing y recopiló datos de interés utilizando herramientas como KLogEXE y FPSpy.
La siguiente fase comenzó cuando Lazarus Group asumió el control explotando CVE-2024-38193, una falla de escalada de privilegios ahora parcheada en el controlador de función auxiliar de Windows (AFD.sys) para WinSock, para entregar cargas útiles adicionales como FudModule, InvisibleFerret y BeaverTail para robar claves privadas y registros de transacciones de billeteras blockchain y, en última instancia, desviar activos digitales por valor de millones de dólares en un lapso de 48 horas.
«Aunque Kimsuky y Lazarus tienen diferentes enfoques tácticos, ambos poseen ‘armas asesinas’ capaces de traspasar defensas de primer nivel, y sus características técnicas son ‘precisas y despiadadas'», dijo Purple Team Security Research, describiendo los dos grupos como un enfoque de «doble motor» para la recopilación de inteligencia y ganancias financieras.
«Las dos organizaciones no operan de forma aislada. Los mapas de red corporativa robados de Kimsuky y la información de acceso se sincronizan en tiempo real con la plataforma de ataque de Lazarus».
(La historia se actualizó después de la publicación para incluir otras campañas relacionadas de Kimsuky documentadas en las últimas semanas).