Ciberseguridad 360 | HanKook Phantom: espionaje académico en Corea

Investigadores en ciberseguridad han descubierto una nueva campa�a de phishing llevada a cabo por el grupo de hackers vinculado a Corea del Norte llamado ScarCruft (tambi�n conocido como APT37) para distribuir un malware conocido como RokRAT.

La actividad ha sido bautizada con el nombre en clave "Operaci�n HanKook Phantom" por Seqrite Labs, que afirma que los ataques parecen estar dirigidos a personas relacionadas con la Asociaci�n Nacional de Investigaci�n de Inteligencia, entre las que se incluyen figuras acad�micas, antiguos funcionarios gubernamentales e investigadores.

"Es probable que los atacantes tengan como objetivo robar informaci�n confidencial, establecer persistencia o llevar a cabo actividades de espionaje", afirm� el investigador de seguridad Dixit Panchal en un informe publicado la semana pasada.

El punto de partida de la cadena de ataques es un correo electr�nico de spear phishing que contiene un se�uelo para el �Bolet�n de la Sociedad Nacional de Investigaci�n de Inteligencia, n�mero 52�, un bolet�n peri�dico publicado por un grupo de investigaci�n surcoreano centrado en cuestiones de inteligencia nacional, relaciones laborales, seguridad y energ�a.

El mensaje digital contiene un archivo ZIP adjunto que contiene un acceso directo de Windows (LNK) que se hace pasar por un documento PDF y que, al abrirse, inicia el bolet�n informativo como se�uelo mientras descarga RokRAT en el host infectado.

RokRAT es un malware conocido asociado con APT37, una herramienta capaz de recopilar informaci�n del sistema, ejecutar comandos arbitrarios, enumerar el sistema de archivos, capturar capturas de pantalla y descargar cargas �tiles adicionales. Los datos recopilados se filtran a trav�s de Dropbox, Google Cloud, pCloud y Yandex Cloud.

Seqrite afirm� haber detectado una segunda campa�a en la que el archivo LNK sirve como conducto para un script de PowerShell que, adem�s de soltar un documento de Microsoft Word como se�uelo, ejecuta un script por lotes de Windows ofuscado que se encarga de desplegar un dropper. A continuaci�n, el binario ejecuta una carga �til de siguiente fase para robar datos confidenciales del host comprometido, al tiempo que oculta el tr�fico de red como una carga de archivos de Chrome.

El documento se�uelo utilizado en este caso es una declaraci�n emitida por Kim Yo Jong, subdirectora del Departamento de Publicidad e Informaci�n del Partido de los Trabajadores de Corea, con fecha del 28 de julio, en la que rechaza los esfuerzos de Se�l por la reconciliaci�n.

"El an�lisis de esta campa�a pone de relieve c�mo APT37 (ScarCruft/InkySquid) sigue empleando ataques de spear-phishing altamente personalizados, aprovechando cargadores LNK maliciosos, la ejecuci�n de PowerShell sin archivos y mecanismos de exfiltraci�n encubiertos", afirm� Panchal.

"Los atacantes se dirigen espec�ficamente a sectores gubernamentales, instituciones de investigaci�n y acad�micos de Corea del Sur con el objetivo de recopilar informaci�n y realizar espionaje a largo plazo".

Esta novedad se produce despu�s de que la empresa de ciberseguridad QiAnXin detallara los ataques perpetrados por el infame Lazarus Group (tambi�n conocido como QiAnXin) utilizando t�cticas similares a las de ClickFix para enga�ar a los solicitantes de empleo y que descargaran una supuesta actualizaci�n relacionada con NVIDIA para solucionar problemas con la c�mara o el micr�fono al realizar una evaluaci�n por v�deo. Los detalles de esta actividad fueron revelados previamente por Gen Digital a finales de julio de 2025.

El ataque ClickFix da lugar a la ejecuci�n de un script de Visual Basic que conduce al despliegue de BeaverTail, un ladr�n de JavaScript que tambi�n puede entregar una puerta trasera basada en Python denominada InvisibleFerret. Adem�s, los ataques allanan el camino para una puerta trasera con capacidades de ejecuci�n de comandos y lectura/escritura de archivos.

La revelaci�n tambi�n se produce tras las nuevas sanciones impuestas por la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de los Estados Unidos contra dos personas y dos entidades por su participaci�n en el plan de trabajadores remotos de tecnolog�a de la informaci�n (TI) de Corea del Norte para generar ingresos il�citos para los programas de armas de destrucci�n masiva y misiles bal�sticos del r�gimen.

El Grupo Chollima, en un informe publicado la semana pasada, detall� su investigaci�n sobre un grupo de trabajadores de TI afiliado a Moonstone Sleet, al que sigue como BABYLONGROUP, en relaci�n con un juego blockchain play-to-earn (P2E) llamado DefiTankLand.

Se estima que Logan King, el supuesto director t�cnico de DefiTankLand, es en realidad un trabajador inform�tico norcoreano, una hip�tesis respaldada por el hecho de que la cuenta de GitHub de King ha sido utilizada como referencia por un desarrollador ucraniano independiente y desarrollador de cadenas de bloques llamado "Ivan Kovch".

"Muchos miembros hab�an trabajado anteriormente en un enorme proyecto de criptomonedas en nombre de una empresa sospechosa llamada ICICB (que creemos que es una tapadera), uno de los miembros no norcoreanos del grupo dirige el mercado chino de ciberdelincuencia FreeCity, y existe una interesante conexi�n entre DeTankZone y un antiguo trabajador de TI que anteriormente operaba desde Tanzania", afirm� el Grupo Chollima.

"Aunque el director ejecutivo de DefiTankLand, Nabil Amrani, ha trabajado anteriormente con Logan en otros proyectos de cadena de bloques, no creemos que sea responsable de ning�n desarrollo. Todo esto significa que el juego �leg�timo� detr�s de DeTankZone de Moonstone Sleet fue desarrollado en realidad por trabajadores de TI de la RPDC, y que posteriormente fue recogido y utilizado por un grupo APT norcoreano".

Fuente: thehackernews