Kimsuky patrocinado por el estado de Corea del Norte Kimsuky ha presentado una nueva campaña sofisticada dirigida a las entidades surcoreanas a través de archivos de Accesivo de Windows (LNK) de Windows, que demuestra la evolución continua del grupo en sigilo y precisión.
La campaña combina la ingeniería social personalizada con marcos de malware avanzados diseñados para infiltrarse sistemáticamente en agencias gubernamentales, contratistas de defensa y organizaciones de investigación mientras evade las medidas de seguridad tradicionales.
La operación comienza con correos electrónicos de phishing cuidadosamente diseñados que contienen archivos LNK maliciosos integrados dentro de los archivos ZIP para evitar los sistemas de filtrado de correo electrónico.
Estos archivos ejecutan scripts ofuscos a través de utilidades de ventanas de confianza, utilizando documentos de señuelo basados en materiales gubernamentales de Corea de Corea disponibles públicamente como señuelos psicológicos.
Una vez activado, el malware realiza un perfil extenso del sistema, robo de credenciales y exfiltración de datos integral al tiempo que mantiene canales de comunicación persistentes de comando y control.
Laboratorios de investigación de amenazas de Aryaka identificado Esta campaña de afición cibernética dirigida específicamente a las entidades surcoreanas, atribuyendo la operación sofisticada a Kimsuky a través del análisis de las tácticas, técnicas y procedimientos característicos del grupo.
Los investigadores notaron el enfoque estratégico de la campaña en la orientación específica de la región y su abuso de procesos legítimos del sistema para mantener la seguridad operativa.
El ataque aprovecha los documentos del señuelo engañoso, incluidos los avisos del gobierno de aspecto oficial sobre los delincuentes sexuales cercanos y las notificaciones de penalización fiscal, diseñadas para crear urgencia y provocar una participación inmediata del usuario.
Estos documentos se descargan y se abren automáticamente después de la infección inicial, sirviendo como componentes efectivos de ingeniería social que enmascaran la actividad maliciosa subyacente que ocurre simultáneamente en el sistema de la víctima.
Cadena de infección avanzada y mecanismos de carga reflectantes
La sofisticación técnica del malware se hace evidente en su proceso de infección en varias etapas que comienza con la ejecución de archivos LNK.
Cadena de infección (fuente – Aryaka)
Cuando se activa, el acceso directo inicia un archivo HTA alojado en una red remota de entrega de contenido utilizando la utilidad legítima de Windows mshta.exe.
Este archivo HTA contiene VBScript muy ofuscado que construye cadenas a través de operaciones aritméticas complejas que involucran conversiones hexadecimales a decimales y funciones CHR.
Archivo HTA malicioso (Fuente – Aryaka)
El malware implementa medidas avanzadas contra el análisis, incluida la detección de máquinas virtuales que examina los fabricantes de sistemas para entornos VMware, Microsoft o VirtualBox.
Tras la detección de sistemas virtualizados, el malware desencadena una rutina de limpieza que elimina sistemáticamente los archivos de carga útil antes de terminar la ejecución, evitando efectivamente el análisis de sandbox.
Quizás lo más notable, la campaña emplea técnicas reflexivas de inyección de DLL que representan un avance significativo en las capacidades de evasión.
El malware descarga y decodifica ejecutables codificados Base64 que sirven como cargadores personalizados, recuperando posteriormente las cargas útiles cifradas de RC4 de los servidores CDN.
En lugar de escribir dlls maliciosos en el disco, el sistema descifra el contenido directamente en la memoria y utiliza las funciones VirtualAllOcex (), WriteProCessMemory () y Createremotethread () para inyectar código en procesos en ejecución.
Este enfoque de carga reflectante garantiza que la carga útil funcione completamente en la memoria, reduciendo sustancialmente la probabilidad de detección por las soluciones antivirus tradicionales que monitorean las actividades basadas en disco.
La campaña mantiene el acceso persistente a través de modificaciones de registro y establece canales sólidos de comando y control que permiten la ejecución de comandos remotos en tiempo real, la entrega de carga útil adicional y la exfiltración de datos sistemáticos en fragmentos discretos de 1 MB disfrazados de tráfico web estándar.
Integre cualquiera. Pruebe 50 búsqueda de prueba gratuita
