Se ha observado que el actor estatal norcoreano
Kimsuky
(también conocido como
APT43, Black Banshee, Emerald Sleet, Sparkling Pisces, Springtail,
TA427,
y Velvet Chollima) utiliza una nueva táctica inspirada en las campañas
ClickFix, que
ahora están muy extendidas.
ClickFix es una táctica de ingeniería social que ha ganado fuerza en la
comunidad de ciberdelincuentes, especialmente para distribuir malware de robo
de información.
Implica mensajes de error engañosos o indicaciones que dirigen a las víctimas
a ejecutar código malicioso por sí mismas, a menudo a través de comandos de
PowerShell. Estas acciones suelen provocar infecciones de malware.
Según la información
del equipo de Inteligencia de Amenazas de Microsoft, el atacante se hace pasar
por un funcionario del gobierno de Corea del Sur y gradualmente establece una
conexión con la víctima.
Una vez que se establece un cierto nivel de confianza, el atacante envía un
correo electrónico de phishing con un archivo PDF adjunto. Sin embargo, los
usuarios que leen el documento son dirigidos a un enlace de registro de
dispositivo falso que les indica que ejecuten PowerShell como administrador y
peguen el código proporcionado por el atacante.
Cuando se ejecuta, el código instala una herramienta de escritorio remoto
basada en navegador, descarga un certificado utilizando un PIN codificado y
registra el dispositivo de la víctima en un servidor remoto, lo que le da al
atacante acceso directo para la exfiltración de datos.
Microsoft dice que observó esta táctica en ataques de alcance limitado a
partir de enero de 2025, dirigidos a personas que trabajan en organizaciones
de asuntos internacionales, ONG, agencias gubernamentales y empresas de medios
en América del Norte, América del Sur, Europa y Asia Oriental.
Microsoft notificó a los clientes que fueron objeto de esta actividad e insta
a otros a tomar nota de la nueva táctica y tratar todas las comunicaciones no
solicitadas con extrema precaución.
«Si bien solo hemos observado el uso de esta táctica en ataques limitados
desde enero de 2025, este cambio es indicativo de un nuevo enfoque para
comprometer sus objetivos de espionaje tradicionales», advierte Microsoft.
La adopción de tácticas ClickFix por parte de actores de estados nacionales
como Kimsuky es un testimonio de la efectividad del ataque en operaciones
reales.
Phishing con PowerShell y Dropbox
Usando señuelos de phishing personalizados escritos en coreano y camuflados
como documentos legítimos, los atacantes se infiltraron con éxito en entornos
específicos, dijeron los investigadores de seguridad Den Iuzvyk y Tim Peck en
un informe de Securonix.
Los documentos señuelo, enviados a través de correos electrónicos de phishing
como archivos .HWP, .XLSX y .PPTX, se disfrazan como registros de trabajo,
documentos de seguros y archivos relacionados con criptografía para engañar a
los destinatarios para que los abran, lo que desencadena el proceso de
infección.
La cadena de ataque se destaca por su gran dependencia de scripts de
PowerShell en varias etapas, incluida la entrega de la carga útil, el
reconocimiento y la ejecución. También se caracteriza por el uso de Dropbox
para la distribución de la carga útil y la exfiltración de datos.
Todo comienza con un archivo ZIP que contiene un único archivo de acceso
directo de Windows (.LNK) que se hace pasar por un documento legítimo y que,
cuando se extrae y se ejecuta, activa la ejecución del código de PowerShell
para recuperar y mostrar un documento señuelo alojado en Dropbox, mientras que
establece sigilosamente la persistencia en el host de Windows a través de una
tarea programada llamada «ChromeUpdateTaskMachine».
El script de PowerShell también está diseñado para ponerse en contacto con la
misma ubicación de Dropbox para buscar otro script de PowerShell que es
responsable de recopilar y exfiltrar información del sistema. Además, suelta
un tercer script de PowerShell que es en última instancia responsable de
ejecutar un ensamblado .NET desconocido.
Securonix dijo que pudo aprovechar los tokens OAuth para obtener información
adicional sobre la infraestructura del actor de la amenaza, encontrando
evidencia de que la campaña puede haber estado en marcha desde septiembre del
año pasado.
Los usuarios deben tener cuidado cuando encuentren solicitudes para ejecutar
en sus computadoras código que copian en línea, especialmente cuando lo hacen
con privilegios de administrador.