Operación HanKook Phantom: ScarCruft (APT37) lanza campaña de phishing

Un nuevo informe de ciberseguridad revela que el grupo de hackers ScarCruft, también conocido como APT37, vinculado a Corea del Norte, está detrás de una sofisticada campaña de phishing cuyo objetivo es el espionaje y el robo de información confidencial. La operación, bautizada como HanKook Phantom por los investigadores de Seqrite Labs, utiliza el malware RokRAT, una herramienta avanzada de intrusión y exfiltración de datos.

Según el análisis, los principales objetivos de la campaña incluyen figuras académicas, ex funcionarios gubernamentales e investigadores asociados con la Asociación Nacional de Investigación de Inteligencia en Corea del Sur. El propósito es claro: obtener acceso a información sensible y mantener presencia en los sistemas comprometidos.

El inicio del ataque: spear-phishing altamente dirigido

La cadena de ataque comienza con un correo electrónico de spear-phishing disfrazado de boletín legítimo titulado "Boletín de la Sociedad Nacional de Investigación de Inteligencia – Número 52". Este boletín pertenece a una institución real que estudia inteligencia nacional, relaciones laborales, seguridad y energía en Corea del Sur.

El correo incluye un archivo adjunto ZIP, que contiene un acceso directo de Windows (LNK) camuflado como documento PDF. Al abrirlo, el usuario ve un archivo señuelo que aparenta ser el boletín, mientras en segundo plano se ejecuta la descarga e instalación de RokRAT en el dispositivo comprometido.

RokRAT: el malware insignia de ScarCruft

RokRAT es una herramienta ya conocida en operaciones previas de APT37. Sus capacidades incluyen:

• Recolección de información del sistema comprometido.
• Ejecución de comandos arbitrarios.
• Enumeración y exploración del sistema de archivos.
• Captura de capturas de pantalla.
• Descarga y ejecución de cargas útiles adicionales.
• Exfiltración de datos mediante servicios legítimos como Dropbox, Google Cloud, pCloud y Yandex Cloud.

Este uso de plataformas en la nube permite a los atacantes ocultar el tráfico malicioso entre comunicaciones legítimas, lo que complica la detección por parte de soluciones de seguridad.

Segunda variante: PowerShell y documentos señuelo

Seqrite Labs también descubrió una segunda campaña paralela en la que el archivo LNK servía como puente hacia un script de PowerShell ofuscado. Este, a su vez, desplegaba un documento señuelo de Microsoft Word y ejecutaba un script por lotes encargado de soltar un cuentagotas malicioso.

El objetivo: implementar una carga útil de segunda etapa capaz de robar información sensible mientras camuflaba el tráfico como si fuera una subida de archivos de Google Chrome.

En este caso, el documento utilizado como señuelo era una declaración oficial de Kim Yo Jong, subdirectora del Departamento de Publicidad e Información del Partido de los Trabajadores de Corea, fechada el 28 de julio, rechazando intentos de reconciliación de Seúl.

Técnicas avanzadas de evasión

El análisis técnico subraya que APT37 continúa perfeccionando tácticas como:

• Archivos LNK maliciosos en lugar de ejecutables tradicionales.
• Ejecución sin archivos mediante PowerShell para evitar detección.
• Uso de mecanismos de exfiltración encubiertos a través de servicios en la nube.
• Documentos señuelo de alta relevancia política y estratégica.

Estas técnicas confirman que se trata de una operación de espionaje a largo plazo, dirigida principalmente a Corea del Sur y sus instituciones críticas.

Contexto geopolítico y vínculos con otros grupos norcoreanos

El descubrimiento de esta campaña coincide con otras actividades recientes atribuidas a grupos de hackers de Corea del Norte, entre ellos el Lazarus Group. Investigadores de QiAnXin documentaron ataques al estilo ClickFix, en los que se usaba una falsa actualización de NVIDIA para distribuir el malware BeaverTail (ladrón en JavaScript) y la puerta trasera InvisibleFerret en Python.

Estos ataques reflejan una estrategia común: utilizar señuelos de confianza (como actualizaciones de software o documentos oficiales) para comprometer a los usuarios y abrir la puerta a operaciones de espionaje o robo financiero.

Sanciones internacionales y el rol de los trabajadores de TI

El informe de Seqrite se suma a un panorama más amplio en el que Estados Unidos, a través de la Oficina de Control de Activos Extranjeros (OFAC), ha impuesto sanciones contra individuos y entidades involucrados en esquemas de trabajadores de TI remota de Corea del Norte.

Investigaciones del Grupo Chollima revelaron conexiones entre Moonstone Sleet (otro APT norcoreano) y el desarrollo del juego blockchain DefiTankLand, utilizado como fachada para generar ingresos ilícitos mediante la industria de las criptomonedas y los videojuegos play-to-earn (P2E).

Se identificó que Logan King, supuesto CTO de DefiTankLand, sería en realidad un trabajador de TI norcoreano. La investigación también mostró vínculos con empresas sospechosas como ICICB y redes de ciberdelincuencia en China, reforzando la hipótesis de que el ecosistema blockchain está siendo explotado para financiar al régimen.

En fin, la campaña Operación HanKook Phantom confirma una vez más la agresividad y sofisticación del grupo ScarCruft (APT37) en sus operaciones de espionaje cibernético. El uso del malware RokRAT, combinado con tácticas de spear-phishing y técnicas avanzadas de evasión, muestra la intención clara de Corea del Norte de infiltrarse en sectores críticos de Corea del Sur.

Este ataque no es un evento aislado, sino parte de una estrategia global de ciberespionaje y generación de ingresos ilícitos que incluye el uso de videojuegos blockchain, fraudes de TI remota y campañas de phishing cada vez más personalizadas.

Para los gobiernos, instituciones de investigación y organizaciones académicas, este tipo de amenazas subraya la necesidad de reforzar la ciberseguridad, capacitar al personal en la detección de phishing y establecer mecanismos de defensa avanzados.

ScarCruft y Lazarus continúan siendo recordatorios de que la ciberseguridad y la geopolítica están más interconectadas que nunca.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login