El grupo de amenaza persistente avanzada (APT) patrocinada por el estado de Corea del Norte, el grupo de amenaza persistente (APT), ha lanzado una nueva campaña de malware sofisticada dirigida a usuarios de Corea del Sur a través de un aviso engañoso de actualización de código postal.
Este último ataque representa una evolución significativa en las capacidades operativas del grupo, marcando el primer despliegue observado de ransomware junto con sus herramientas de espionaje tradicionales.
La campaña muestra la adopción de los lenguajes de programación modernos de Scarcruft e innovadora infraestructura de comando y control para mejorar la evasión de detección.
La cadena de ataque comienza con un archivo LNK malicioso incrustado dentro de un archivo RAR, disfrazado de una notificación legítima del servicio postal.
Flujo de ataque (fuente – medio)
Tras la ejecución, el archivo LNK implementa un cargador automático que posteriormente obtiene y ejecuta múltiples cargas útiles de servidores externos, creando un proceso de infección en varias etapas diseñado para evitar las medidas de seguridad tradicionales.
Esta campaña se ha atribuido a Chinopunk, un subgrupo especializado dentro de Scorcruft que se centra en distribuir diversas cepas de malware a través de plataformas de mensajería en tiempo real.
Investigadores S2W identificado Nueve muestras de malware distintas en esta campaña, con varios que representan avances tecnológicos notables para el grupo de amenazas.
Las adiciones más significativas incluyen NubSpy, un PubNub para aprovechar la puerta trasera para comunicaciones de comando y control, y Chillychino, una puerta trasera a base de óxido adaptada de las versiones anteriores de PowerShell.
Clasificación de subgrupos de escorruft (fuente – medio)
La campaña también introdujo el ransomware VCD, que cifra los archivos de víctimas con una extensión .vcd, marcando la primera incursión documentada de Scarcruft en la implementación de ransomware.
Innovación técnica y evasión de detección
La adopción del lenguaje de programación de óxido para el desarrollo de la puerta trasera representa un cambio estratégico hacia capacidades de evasión de detección mejoradas.
Chillychino demuestra el compromiso de Scorcruft para modernizar su conjunto de herramientas mediante la portada de la funcionalidad de PowerShell existente en un lenguaje compilado que ofrece un rendimiento superior y las tasas de detección antivirus reducidas.
El malware utiliza el servicio de mensajería legítimo en tiempo real de PubNub como su canal de comando y control, lo que permite a los operadores combinar el tráfico malicioso con las comunicaciones de red normales.
// Ejemplo de estructura de comunicación C2 basada en óxido Pub Struct C2Channel {PubNub_client: PubNub, Channel_id: String, CiCryption_Key: (U8; 32),}
La sofisticación técnica de esta campaña, combinada con el despliegue de capacidades de ransomware, sugiere que el escorruct puede estar expandiéndose más allá de las operaciones de espionaje tradicionales hacia actividades motivadas financieramente, lo que representa una evolución preocupante en las tácticas de guerra cibernética de Corea del Norte.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
