Una sofisticada campaña de espionaje dirigida a misiones diplomáticas en Corea del Sur ha expuesto las tácticas en evolución de los piratas informáticos patrocinados por el estado de Corea del Norte.
Entre marzo y julio de 2025, los actores de amenaza vinculados al famoso grupo Kimsuky realizaron al menos 19 ataques de phishing de lanza contra embajadas en todo el mundo, lo que demuestra una escalada alarmante en su sofisticación operativa y alcance de orientación.
La campaña representa una evolución significativa en las operaciones cibernéticas de Corea del Norte, ya que los atacantes explotaron plataformas legítimas como Github como infraestructura encubierta de comando y control mientras desplegaron malware Xenorat para mantener el acceso persistente a las redes diplomáticas.
La operación atacó al personal de la embajada a través de misiones diplomáticas occidentales, centrales, orientales y del sur de Europa estacionadas en Seúl, lo que indica un esfuerzo coordinado de recolección de inteligencia con amplias implicaciones geopolíticas.
Investigadores de trellix identificado La campaña a través del análisis exhaustivo de la infraestructura de ataque y las muestras de malware.
La investigación reveló que los actores de amenaza crearon al menos dos cuentas de Github, “Blairity” y “Landjhon”, que operan múltiples repositorios privados con nombres inocuos como “Europa”, “Gulthe” y “Themorning”.
Estos repositorios sirvieron como plataformas multifuncionales para alojar documentos de señuelo, administrar scripts de PowerShell y recopilar datos de inteligencia exfiltrados.
Documentos de señuelo (fuente – Trellix)
Los atacantes demostraron una notable atención al detalle en sus esfuerzos de ingeniería social, creando 54 documentos de señuelo PDF únicos que abarcan múltiples idiomas, incluidos coreanos, inglés, persa, árabe, francés y ruso.
Estos señuelos se hicieron pasar por correspondencia diplomática legítima, invitaciones de conferencias y comunicaciones oficiales de la embajada.
Un ejemplo particularmente sofisticado implicó una invitación falsa a la “Asamblea Fundadora de la Conferencia de oradores interparlamentarios”, con formato diplomático realista y terminología que atraería al personal de la embajada.
Cadena de infección avanzada y mecanismos de persistencia
El proceso de implementación de Xenorat muestra técnicas de evasión avanzada diseñadas para evitar los controles de seguridad tradicionales.
La cadena de infección comienza con archivos ZIP protegidos con contraseña que contienen archivos LNK maliciosos disfrazados de iconos PDF y extensiones dobles como “Carta urgente del embajador.pdf.lnk”.
Cadena de infección de campaña (Fuente – Trellix)
Tras la ejecución, estos atajos desencadenan comandos de PowerShell ofuscados que establecen el punto de apoyo inicial.
El malware emplea una sofisticada técnica de manipulación de encabezado GZIP observada constantemente en las operaciones de Corea del Norte.
El script de PowerShell sobrescribe sistemáticamente los primeros siete bytes de las cargas útiles descargadas con la secuencia mágica GZIP adecuada (0x1f8b08 …) antes de la descompresión, como se demuestra en este patrón de código:
$ bytes = (system.io.file) :: readallBytes ($ ruta) $ bytes (0) = 0x1f; $ bytes (1) = 0x8b; $ bytes (2) = 0x08 (System.io.file) :: WriteAllBytes ($ Path, $ bytes)
La carga útil final de Xenorat, ofuscada utilizando confusor Core 1.6.0, se ejecuta completamente en la memoria a través de la reflexión de .NET, lo que garantiza que no hay archivos ejecutables tocen el disco.
El malware establece la persistencia a través de tareas programadas al tiempo que proporciona un control integral del sistema a través del registro de pulsación de teclas, la captura de capturas de pantalla y las capacidades de caparazón remoto.
La exfiltración de datos ocurre a través de cargas de API de GitHub utilizando tokens de acceso personal codificados, con información robada formateada en nombres de archivo de tiempo de tiempo y codificados Base64 antes de la transmisión.
Esta campaña subraya la creciente sofisticación de las operaciones cibernéticas de Corea del Norte y su disposición a abusar de plataformas confiables para actividades de espionaje, presentando desafíos significativos para la seguridad diplomática en todo el mundo.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
