Los atacantes han comenzado a aprovechar un boletín PDF aparentemente inocuo junto con un archivo de Accesivo Malicioso de Windows (LNK) para infiltrarse en entornos empresariales.
El ataque surgió a fines de agosto de 2025, dirigido a instituciones académicas y gubernamentales de Corea del Sur bajo la apariencia de un boletín PDF legítimo “국가정보연구회 소식지 소식지 호 호)”.
Las víctimas reciben un archivo que contiene tanto el señuelo PDF como un archivo compañero .lnk disfrazado de boletín. Cuando se ejecuta el acceso directo, un cargador PowerShell de varios etapas integrado dentro del LNK desempaqueta y implementa cargas útiles adicionales por completo en la memoria, evadiendo la detección basada en el disco.
El análisis temprano reveló que el archivo LNK oculta tres cargas útiles binarias en compensaciones precisas: un PDF señuelo en el desplazamiento 0x0000102c, un binario de cargador a 0x0007EDC1 y un ejecutable final a 0x0015aed2.
Tras la ejecución, una línea de una línea de PowerShell dentro del LNK lee estas compensaciones, escribe los binarios para % temps como aio0.dat, aio1.dat y aio1+3.b+la+t, y luego comienza un script por lotes (aio03.bat) para decodificar y ejecutar el cargador.
Los analistas de Seqrite señalaron que este enfoque sin archivo permite a los atacantes omitir las defensas basadas en la firma al nunca escribir la carga útil definitiva en el disco.
Investigación posterior realizada por investigadores SeqRite identificado Que la carga útil final, una vez descifrada con una clave XOR de un solo byte (0x35), se inyecta directamente en la memoria a través de llamadas API de Windows: Globalalloc, VirtualProtect y Createthread.
Esta técnica de inyección de DLL reflexiva asegura que el código malicioso se ejecute de manera sigilosa, dejando artefactos forenses mínimos.
Ingeniería inversa detallada del entorno binario de cargadores verificados para las herramientas de VMware y las rutinas de evasión de sandbox que evitan la ejecución en entornos de análisis, confirmando la alta sofisticación del actor de amenaza conocido como APT37.
Campaña 1 cadena de infección (fuente -SeqRite) $ exepath = “$ env: temp \ tony31.dat” $ exefile = get -Content -Path $ exepath -Encoding byte $ key = 0x37 para ($ i = 0; $ i -lt $ exefile.length; $ i ++) {$ exefile ($ i) = $ exefile (($ i) (Win32) :: GlobalAlloc (0x40, $ exefile.length) (win32) :: virtualProtect ($ buf, $ exefile.length, 0x40, (ref) $ antiguo) (win32) :: rtlmovememory ($ buf, $ exefile, $ exefile.length)) (Win32) :: Createthread (0,0, $ Buf, 0,0, (Ref) $ NULL)
Mecanismo de infección
La infección comienza cuando el usuario hace doble clic en el archivo .lnk engañoso, que desencadena a PowerShell debajo del capó.
Cadena de infección de la campaña 2 (fuente – SeqRite)
El script analiza su propio contenido binario utilizando Get-Item y ReadallByBytes, extrayendo el PDF de señuelo para su visualización mientras organiza las cargas útiles reales.
Una vez organizado, el cargador por lotes ejecuta la expresión de invoke en un script decodificado UTF-8 almacenado en AIO02.Dat, que a su vez orquesta el descifrado XOR e inyección reflexiva de AIO01.dat.
Al aprovechar la ejecución en memoria, los atacantes evitan las plataformas de protección de punto final convencional que dependen del escaneo basado en disco.
Esta cadena de infección en capas, que combina documentos señuelo, cargas útiles integradas y técnicas sin archivo, subraya la sofisticación en evolución de las campañas de espionaje cibernético patrocinado por el estado.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
