Home Ciberguerra Japón advierte sobre ataques vinculados a ciberdelincuentes norcoreanos de Kimsuky

Japón advierte sobre ataques vinculados a ciberdelincuentes norcoreanos de Kimsuky

El Centro de Coordinación del Equipo de Respuesta a Emergencias Informáticas de Japón (JPCERT/CC) advierte que las organizaciones japonesas están siendo blanco de ataques por parte de los actores de amenazas norcoreanos ‘Kimsuky’.

El gobierno de Estados Unidos ha atribuido a Kimsuky como un grupo norcoreano de amenaza persistente avanzada (APT) que lleva a cabo ataques contra objetivos en todo el mundo para recopilar inteligencia sobre temas de interés para el gobierno de Corea del Norte.

Se sabe que los actores de amenazas utilizan ingeniería social y phishing para obtener acceso inicial a las redes. Luego implementan malware personalizado para robar datos y conservar la persistencia en las redes.

Japón afirmó que los ataques de Kimsuky se detectaron a principios de este año y la atribución se basó en indicadores de compromiso (IoC) compartidos por el Centro de inteligencia de seguridad de AhnLab (ASEC) en dos informes separados (1, 2).

“JPCERT/CC ha confirmado actividades de ataque contra organizaciones japonesas por parte de un grupo de ataque llamado Kimsuky en marzo de 2024”, advierte JPCERT.

Los atacantes comienzan sus ataques enviando correos electrónicos de phishing haciéndose pasar por organizaciones diplomáticas y de seguridad a objetivos en Japón, con un archivo adjunto ZIP malicioso.

El ZIP contiene un ejecutable que provoca una infección de malware y dos archivos de documentos señuelo. El nombre del archivo ejecutable también utiliza muchos espacios para aparecer como un documento, ocultando la parte “.exe”.

Cuando la víctima lo ejecuta, la carga útil descarga y ejecuta un archivo VBS y también configura ‘C:\Users\Public\Pictures\desktop.ini.bak’ para que se inicie automáticamente a través de Wscript.

El archivo VBS descarga un script de PowerShell para recopilar información, como listas de procesos, detalles de la red, listas de archivos de carpetas (Descargas, Documentos, Escritorio) e información de la cuenta del usuario. Luego, esta información se envía a una URL remota bajo el control de los atacantes.

Esta información recopilada ayuda a Kimsuky a determinar si el dispositivo infectado es una máquina de usuario legítima o un entorno de análisis.

Finalmente, se crea y ejecuta un nuevo archivo VBS para descargar un script de PowerShell que registra las pulsaciones de teclas y la información del portapapeles, que luego se envía a los atacantes.

Dada la actividad de Kimsuky detectada en Japón, el CERT del país subraya la necesidad de que las organizaciones estén atentas a los archivos CHM que pueden contener scripts ejecutables diseñados para distribuir malware.