Konni APT: Campaña de Phishing Norcoreana Apunta a Ucrania con Malware Avanzado

El actor de amenazas vinculado al gobierno de Corea del Norte, conocido como Konni APT, ha sido identificado como responsable de una reciente campaña de phishing dirigida a entidades gubernamentales en Ucrania. Este nuevo frente indica que el grupo norcoreano ha ampliado sus objetivos, apuntando ahora más allá de Rusia, en el contexto del conflicto geopolítico actual.

Objetivo estratégico: inteligencia sobre la invasión rusa

Según un informe publicado por la firma de ciberseguridad empresarial Proofpoint, la campaña tiene como fin principal recopilar información estratégica relacionada con la evolución de la invasión rusa en territorio ucraniano. Los investigadores Greg Lesnewich, Saher Naumaan y Mark Kelly señalan que el grupo busca inteligencia política y militar de alto nivel, similar a campañas anteriores contra objetivos rusos.

¿Quién es Konni APT?

También conocido por otros alias como Opal Sleet, Osmium, TA406 y Vedalia, Konni APT es un grupo de ciberespionaje norcoreano activo desde al menos 2014. Ha dirigido operaciones previas contra gobiernos y entidades en Corea del Sur, Estados Unidos y Rusia. Sus campañas suelen incluir phishing dirigido (spear phishing), uso de malware especializado y recolección de credenciales mediante técnicas de ingeniería social.

Técnicas de ataque empleadas por Konni APT

En esta campaña específica, los atacantes enviaron correos electrónicos falsificados que aparentaban ser enviados por un miembro ficticio de un grupo de expertos llamado "Royal Institute of Strategic Studies", una organización inexistente. El correo contenía un enlace a un archivo RAR protegido por contraseña, alojado en el servicio en la nube MEGA.

Dentro del archivo comprimido se incluía un archivo CHM que mostraba un documento señuelo relacionado con el excomandante ucraniano Valeriy Zaluzhnyi. Al hacer clic en cualquier parte del documento, se ejecutaba PowerShell embebido en HTML, el cual iniciaba una conexión remota y descargaba una carga útil maliciosa adicional.

Esta carga útil basada en PowerShell recopilaba información del sistema de la víctima, la codificaba en Base64 y la enviaba a un servidor controlado por los atacantes.

Variantes del ataque: HTML, archivos LNK y malware en cadena

Proofpoint también detectó otras variantes del ataque. En una de ellas, el archivo malicioso venía directamente adjunto como HTML, con un enlace incrustado que redirigía a un archivo ZIP. Este contenía un PDF legítimo y un archivo LNK (acceso directo de Windows). Al ejecutar el LNK, se activaba un script PowerShell que extraía y ejecutaba un archivo Javascript malicioso (.JSE).

El archivo JSE se conectaba a una URL controlada por Konni APT, desde la cual descargaba comandos remotos para ejecutar en el equipo de la víctima. La naturaleza de estas cargas útiles aún no se ha identificado completamente.

Recolección de credenciales con ingeniería social

Además de la entrega de malware, TA406 (Konni APT) fue observado enviando correos con alertas falsas de seguridad de Microsoft, desde direcciones de correo como ProtonMail. Estos mensajes advertían de supuestos accesos no autorizados desde EE. UU. y solicitaban verificar la identidad a través de un enlace, que llevaba a una página de recolección de credenciales. El dominio usado en estos ataques ya había sido empleado en campañas similares para robar credenciales de cuentas Naver.

Conexiones con otros grupos APT norcoreanos

Konni APT no actúa en solitario. Otros grupos como Kimsuky y APT37 (ScarCruft) han sido vinculados a campañas similares. En particular, Kimsuky ha sido asociado con la distribución del malware PEBBLEDASH, detectado por la firma surcoreana AhnLab. Este malware se entrega mediante spear-phishing y ejecuta un script de PowerShell para establecer persistencia mediante tareas programadas, utilizando servicios como Dropbox para establecer comunicaciones C2 (Command and Control).

En marzo de 2025, APT37 fue relacionado con una campaña llamada Operation ToyBox Story, dirigida contra activistas centrados en Corea del Norte. Utilizando archivos LNK maliciosos, activaban el malware RoKRAT, capaz de capturar capturas de pantalla, robar archivos y establecer conexiones con servicios en la nube como Yandex, pCloud y Dropbox.

Una amenaza creciente y sofisticada

Las campañas recientes del grupo Konni APT reflejan una evolución en las tácticas de ciberespionaje norcoreano, que combina técnicas de spear-phishing, malware modular y explotación de servicios legítimos para evadir detección. El uso de señuelos geopolíticos, como figuras militares ucranianas, y la capacidad de operar de forma sigilosa mediante scripts sin archivos, representa un riesgo serio para entidades gubernamentales en Europa del Este.

Organizaciones en Ucrania y otras regiones objetivo deben extremar la precaución ante correos sospechosos, especialmente los que contienen archivos adjuntos comprimidos, enlaces a servicios de almacenamiento en la nube o archivos LNK, ya que podrían ser parte de operaciones avanzadas de ciberespionaje patrocinadas por el Estado norcoreano.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta