En recientes informes, se ha revelado que hackers vinculados a Corea del Norte están utilizando una nueva puerta trasera (backdoor) y un troyano de acceso remoto (RAT) como parte de sus tácticas ofensivas cibernéticas. Estas herramientas, bautizadas como VeilShell y RokRAT, han sido empleadas principalmente en ataques dirigidos a países del sudeste asiático. A continuación, desglosamos los detalles de estas amenazas y sus implicaciones en el panorama de la ciberseguridad.
Grupo APT37 y el uso de VeilShell
Las actividades de este grupo, conocido como APT37, fueron descubiertas inicialmente por Securonix, una plataforma de análisis de seguridad. APT37, también identificado como Reaper, RedEyes, ScarCruft, InkySquid, Ruby Sleet, y Ricochet Chollima, ha estado activo desde 2012 y se cree que está vinculado al Ministerio de Seguridad del Estado (MSS) de Corea del Norte.
El reciente conjunto de actividades de este grupo ha sido denominado SHROUDED#SLEEP y se ajusta a los intereses estatales de Corea del Norte, evolucionando según las prioridades del gobierno. Estas amenazas han mostrado un alto grado de sofisticación, con ataques dirigidos y bien planeados.
Herramientas y tácticas de ataque de SHROUDED#SLEEP
Entre las herramientas que utiliza este grupo, destaca el malware RokRAT, también conocido como Goldbackdoor, una pieza clave en su arsenal. La primera fase del ataque involucra la entrega de un archivo ZIP que contiene un archivo LNK de Windows, y aunque se sospecha que los correos electrónicos de spear-phishing juegan un rol importante, el método de despliegue inicial aún no ha sido completamente confirmado.
Una vez que la víctima ejecuta el archivo LNK, se activa un script de PowerShell que extrae componentes adicionales, como un documento PDF o Excel que se abre automáticamente para distraer al usuario mientras se despliegan archivos maliciosos en la carpeta de inicio del sistema operativo.
Entre estos archivos, se encuentra un ejecutable denominado «dfsvc.exe» y una DLL que recupera código JavaScript de un servidor remoto. Este servidor, a su vez, se conecta a otro para descargar el backdoor VeilShell, un malware basado en PowerShell que se comunica con un servidor C2 para recibir instrucciones adicionales, tales como:
- Recopilar información de la máquina comprometida.
- Comprimir directorios en archivos ZIP y subirlos al servidor C2.
- Descargar archivos desde URLs específicas.
- Renombrar, borrar y extraer archivos ZIP.
Los expertos en seguridad han señalado que VeilShell emplea largos tiempos de espera entre fases para evadir las detecciones heurísticas tradicionales. Además, una vez desplegado, VeilShell no se ejecuta hasta que el sistema comprometido se reinicia, lo que añade una capa de sigilo adicional al ataque.
Implicaciones y medidas de seguridad
El uso de VeilShell y RokRAT por parte del grupo APT37 subraya la creciente sofisticación de las ciberamenazas patrocinadas por el Estado. Los ataques sigilosos en varias fases dirigidos al sudeste asiático representan un reto significativo para la ciberseguridad global.
Es crucial que los usuarios y las organizaciones fortalezcan sus medidas de seguridad, adoptando estrategias proactivas como la actualización constante de software, el uso de soluciones de seguridad avanzadas y la implementación de controles de acceso estrictos para mitigar el riesgo.
En Resumen
El grupo de hackers norcoreanos APT37 ha demostrado una notable evolución en sus tácticas de ataque, utilizando herramientas avanzadas como VeilShell y RokRAT para comprometer sistemas en campañas altamente dirigidas. Estos ataques subrayan la necesidad de reforzar las defensas cibernéticas en todo el mundo para enfrentar las amenazas en constante cambio que representan los actores estatales.
Para mejorar la postura de seguridad, las organizaciones deben adoptar prácticas robustas de ciberseguridad, mantenerse al día con las últimas vulnerabilidades y ataques, y desplegar medidas preventivas que incluyan herramientas de monitoreo y detección avanzadas.
