El grupo de hackers Kimsuky, vinculado a Corea del Norte, ha sido identificado como el responsable de un nuevo ataque de ingeniería social que emplea cuentas ficticias de Facebook para dirigirse a sus objetivos a través de Messenger y, en última instancia, instalar malware.
Según un informe publicado la semana pasada por la empresa surcoreana de ciberseguridad Genians, “el actor de amenazas creó una cuenta de Facebook con una identidad falsa, haciéndose pasar por un funcionario público que trabaja en el campo de los derechos humanos en Corea del Norte”.
La campaña, que se desarrolla en múltiples etapas y pretende hacerse pasar por una persona legítima, está diseñada para atacar a activistas de los derechos humanos y opositores al régimen norcoreano. Este enfoque se aparta de la estrategia típica de phishing por correo electrónico, utilizando en su lugar la plataforma de redes sociales para acercarse a los objetivos a través de Facebook Messenger y engañarlos para que abran documentos aparentemente privados escritos por la persona falsa.
Los documentos señuelo, alojados en OneDrive, incluyen archivos de Microsoft Common Console que se presentan como ensayos o contenido relacionado con una cumbre trilateral entre Japón, Corea del Sur y Estados Unidos, con nombres como “My_Essay(prof).msc” o “NZZ_Interview_Kohei Yamamoto.msc”. Este último archivo fue subido a la plataforma VirusTotal el 5 de abril de 2024 desde Japón, lo que sugiere que la campaña podría estar orientada a personas específicas en Japón y Corea del Sur.
![](https://www.vhngroup.com/wp-content/uploads/2024/05/Diagrama-de-flujo-de-la-Campana-de-Kimsuky-Genians.png)
El uso de archivos MSC para llevar a cabo el ataque indica que Kimsuky está empleando tipos de documentos poco comunes para evitar ser detectado. Además, los documentos están disfrazados como archivos de Word inofensivos, utilizando el icono del procesador de textos para engañar a las víctimas.
Si una víctima abre el archivo MSC y acepta ejecutarlo con Microsoft Management Console (MMC), se le presenta una pantalla de consola que contiene un documento de Word. Al iniciar este documento, se activa la secuencia de ataque, que implica ejecutar un comando para establecer una conexión con un servidor controlado por los atacantes (“brandwizer.co[.]in”). Esto permite mostrar un documento alojado en Google Drive (“Ensayo sobre la resolución de reclamaciones de trabajo forzoso en Corea.docx”) mientras se ejecutan instrucciones adicionales en segundo plano para configurar la persistencia y recopilar información sobre la batería y los procesos del sistema.
La información recopilada se envía al servidor de comando y control (C2), que también puede recolectar direcciones IP, cadenas de agentes de usuario e información de marca de tiempo de las solicitudes HTTP, y entregar cargas útiles adicionales según sea necesario.
Genians destacó que algunas de las tácticas, técnicas y procedimientos (TTP) utilizados en esta campaña se superponen con actividades anteriores de Kimsuky, como la distribución del malware ReconShark, detallada por SentinelOne en mayo de 2023.
“En el primer trimestre de este año, los ataques de phishing fueron el método más común de ataques APT reportados en Corea del Sur”, señaló Genians. “Aunque no se informan con frecuencia, también se están produciendo ataques encubiertos a través de las redes sociales. Debido a su naturaleza personalizada y uno a uno, el monitoreo de seguridad no los detecta fácilmente y rara vez se informan externamente, incluso si la víctima es consciente de ellos. Por lo tanto, es muy importante detectar estas amenazas personalizadas a tiempo”.
Fuente: linkedin.com