Lazarus Group: nueva campaña con PondRAT, ThemeForestRAT y RemotePE

El Lazarus Group, uno de los grupos de ciberamenazas más activos y sofisticados vinculados a Corea del Norte, ha sido señalado nuevamente en una campaña dirigida contra el sector de las finanzas descentralizadas (DeFi). La operación fue documentada por Fox-IT, parte del NCC Group, y muestra cómo los atacantes utilizaron técnicas de ingeniería social combinadas con malware avanzado para comprometer a una organización del sector.

El ataque, detectado en 2024, involucró la distribución de tres piezas diferentes de malware multiplataforma: PondRAT, ThemeForestRAT y RemotePE. Estas herramientas se utilizaron de manera secuencial, escalando la sofisticación del ataque a medida que los atacantes obtenían control sobre la red de la víctima.

Ingeniería social como punto de entrada

La campaña comenzó con un vector de ingeniería social. Los atacantes se hicieron pasar por un empleado de confianza de una empresa comercial en Telegram, estableciendo comunicación con la víctima. Para reforzar su credibilidad, crearon sitios falsos que imitaban plataformas legítimas como Calendly y Picktime, que fueron utilizados para programar reuniones falsas.

Aunque el vector inicial exacto no se conoce con certeza, los investigadores sospechan que se explotó un día cero en Google Chrome para instalar un cargador llamado PerfhLoader. Este malware actuó como punto de apoyo inicial para desplegar la primera fase del ataque: el troyano de acceso remoto PondRAT.

PondRAT: la primera fase del ataque

PondRAT se considera una variante simplificada de POOLRAT (también conocido como SIMPLESEA). Aunque sus capacidades son limitadas, cumple con su función de establecer un canal de comunicación con los atacantes.

Este malware puede:

• Leer y escribir archivos en el sistema.
• Iniciar procesos maliciosos.
• Ejecutar shellcode bajo demanda.
• Mantener comunicación con un servidor de comando y control (C2) mediante HTTP(S).

Fox-IT señala que PondRAT ha estado en uso al menos desde 2021, lo que refuerza la persistencia de las tácticas de Lazarus en sus operaciones.

ThemeForestRAT: sigilo y mayor capacidad

Tras comprometer el sistema, los atacantes desplegaron un segundo malware más sofisticado: ThemeForestRAT, cargado directamente en la memoria ya sea mediante PondRAT o un cargador especializado.

ThemeForestRAT ofrece una gama más amplia de funcionalidades, incluyendo:

• Enumeración de archivos y directorios.
• Ejecución de comandos arbitrarios.
• Control de procesos en ejecución.
• Descarga y carga de archivos.
• Inyección de shellcode.
• Monitoreo de sesiones de Escritorio Remoto (RDP).
• Capacidad de hibernación para evadir detección.

Los analistas remarcan que ThemeForestRAT guarda similitudes con el malware RomeoGolf, utilizado por Lazarus en el histórico ataque contra Sony Pictures Entertainment en 2014, documentado en la Operación Blockbuster.

RemotePE: herramienta reservada para objetivos de alto valor

La etapa final de la cadena de ataque consistió en el despliegue de RemotePE, un RAT avanzado escrito en C++. Su instalación se realiza a través de un cargador denominado RemotePELoader, el cual es activado previamente por DPAPILoader.

A diferencia de PondRAT, RemotePE está diseñado para operaciones más complejas y probablemente sea reservado para objetivos de alto valor, lo que coincide con el interés de Lazarus en comprometer el ecosistema DeFi y robar activos financieros digitales.

Herramientas adicionales empleadas en la campaña

Además de los RAT mencionados, Lazarus desplegó un arsenal de utilidades que fortalecieron el ataque:

• Keyloggers para registrar pulsaciones de teclado.
• Stealers para robar credenciales y cookies del navegador Chrome.
• Capturadores de pantalla.
• Mimikatz, herramienta ampliamente usada para la extracción de credenciales.
• FRPC y MidProxy, usados para conexiones proxy y movimiento lateral.

Este conjunto de herramientas permitió a los atacantes mapear la red interna, moverse lateralmente y mantener persistencia, mientras se mantenían bajo el radar de las defensas de seguridad.

Implicaciones para el sector DeFi

El ataque confirma que Lazarus Group sigue centrando su atención en el sector DeFi, uno de los más lucrativos para los cibercriminales debido al volumen de activos digitales en circulación. La combinación de ingeniería social, exploits potenciales de día cero y malware modular demuestra un alto grado de sofisticación y planificación.

La estrategia de emplear un malware inicial más simple (PondRAT), seguido de herramientas más avanzadas (ThemeForestRAT y RemotePE), refleja un modelo escalonado de ataque. De esta forma, Lazarus puede mantener un equilibrio entre sigilo, persistencia y capacidades ofensivas.

En fin, el grupo Lazarus, patrocinado por el Estado norcoreano, continúa siendo una de las amenazas más persistentes y peligrosas en el panorama de la ciberseguridad global. Su capacidad de combinar técnicas de ingeniería social con la distribución de malware multiplataforma como PondRAT, ThemeForestRAT y RemotePE refuerza la necesidad de que las organizaciones del sector financiero, especialmente las vinculadas a DeFi, fortalezcan sus medidas de defensa.

La investigación de Fox-IT demuestra que estos ataques no solo buscan comprometer sistemas individuales, sino que están orientados a obtener acceso prolongado, robar credenciales y, en última instancia, desviar activos financieros digitales.

En un escenario donde los grupos APT como Lazarus perfeccionan constantemente sus tácticas, la concienciación de los empleados, la protección proactiva contra ingeniería social y la detección temprana de anomalías en la red son factores clave para mitigar los riesgos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login