{"id":3228,"date":"2024-10-15T20:45:42","date_gmt":"2024-10-16T01:45:42","guid":{"rendered":"https:\/\/zidrave.net\/?p=3228"},"modified":"2024-10-15T20:46:54","modified_gmt":"2024-10-16T01:46:54","slug":"hackers-norcoreanos-emplean-nuevas-herramientas-de-ataque-veilshell-y-rokrat","status":"publish","type":"post","link":"https:\/\/zidrave.net\/index.php\/2024\/10\/15\/hackers-norcoreanos-emplean-nuevas-herramientas-de-ataque-veilshell-y-rokrat\/","title":{"rendered":"Hackers Norcoreanos emplean nuevas herramientas de ataque: VeilShell y RokRAT"},"content":{"rendered":"\n<p>En recientes informes, se ha revelado que hackers vinculados a Corea del Norte est\u00e1n utilizando una nueva puerta trasera (backdoor) y un troyano de acceso remoto (RAT) como parte de sus t\u00e1cticas ofensivas cibern\u00e9ticas. Estas herramientas, bautizadas como VeilShell y RokRAT, han sido empleadas principalmente en ataques dirigidos a pa\u00edses del sudeste asi\u00e1tico. A continuaci\u00f3n, desglosamos los detalles de estas amenazas y sus implicaciones en el panorama de la ciberseguridad.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"576\" src=\"https:\/\/zidrave.net\/wp-content\/uploads\/2024\/09\/image-28-1024x576.png\" alt=\"\" class=\"wp-image-2328\" srcset=\"https:\/\/zidrave.net\/wp-content\/uploads\/2024\/09\/image-28-1024x576.png 1024w, https:\/\/zidrave.net\/wp-content\/uploads\/2024\/09\/image-28-300x169.png 300w, https:\/\/zidrave.net\/wp-content\/uploads\/2024\/09\/image-28-768x432.png 768w, https:\/\/zidrave.net\/wp-content\/uploads\/2024\/09\/image-28-1536x864.png 1536w, https:\/\/zidrave.net\/wp-content\/uploads\/2024\/09\/image-28.png 1600w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Grupo APT37 y el uso de VeilShell<\/h3>\n\n\n\n<p>Las actividades de este grupo, conocido como APT37, fueron descubiertas inicialmente por Securonix, una plataforma de an\u00e1lisis de seguridad. APT37, tambi\u00e9n identificado como Reaper, RedEyes, ScarCruft, InkySquid, Ruby Sleet, y Ricochet Chollima, ha estado activo desde 2012 y se cree que est\u00e1 vinculado al Ministerio de Seguridad del Estado (MSS) de Corea del Norte.<\/p>\n\n\n\n<p>El reciente conjunto de actividades de este grupo ha sido denominado SHROUDED#SLEEP y se ajusta a los intereses estatales de Corea del Norte, evolucionando seg\u00fan las prioridades del gobierno. Estas amenazas han mostrado un alto grado de sofisticaci\u00f3n, con ataques dirigidos y bien planeados.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Herramientas y t\u00e1cticas de ataque de SHROUDED#SLEEP<\/h3>\n\n\n\n<p>Entre las herramientas que utiliza este grupo, destaca el malware RokRAT, tambi\u00e9n conocido como Goldbackdoor, una pieza clave en su arsenal. La primera fase del ataque involucra la entrega de un archivo ZIP que contiene un archivo LNK de Windows, y aunque se sospecha que los correos electr\u00f3nicos de spear-phishing juegan un rol importante, el m\u00e9todo de despliegue inicial a\u00fan no ha sido completamente confirmado.<\/p>\n\n\n\n<p>Una vez que la v\u00edctima ejecuta el archivo LNK, se activa un script de PowerShell que extrae componentes adicionales, como un documento PDF o Excel que se abre autom\u00e1ticamente para distraer al usuario mientras se despliegan archivos maliciosos en la carpeta de inicio del sistema operativo.<\/p>\n\n\n\n<p>Entre estos archivos, se encuentra un ejecutable denominado \u00abdfsvc.exe\u00bb y una DLL que recupera c\u00f3digo JavaScript de un servidor remoto. Este servidor, a su vez, se conecta a otro para descargar el backdoor VeilShell, un malware basado en PowerShell que se comunica con un servidor C2 para recibir instrucciones adicionales, tales como:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Recopilar informaci\u00f3n de la m\u00e1quina comprometida.<\/li>\n\n\n\n<li>Comprimir directorios en archivos ZIP y subirlos al servidor C2.<\/li>\n\n\n\n<li>Descargar archivos desde URLs espec\u00edficas.<\/li>\n\n\n\n<li>Renombrar, borrar y extraer archivos ZIP.<\/li>\n<\/ul>\n\n\n\n<p>Los expertos en seguridad han se\u00f1alado que VeilShell emplea largos tiempos de espera entre fases para evadir las detecciones heur\u00edsticas tradicionales. Adem\u00e1s, una vez desplegado, VeilShell no se ejecuta hasta que el sistema comprometido se reinicia, lo que a\u00f1ade una capa de sigilo adicional al ataque.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Implicaciones y medidas de seguridad<\/h3>\n\n\n\n<p>El uso de VeilShell y RokRAT por parte del grupo APT37 subraya la creciente sofisticaci\u00f3n de las ciberamenazas patrocinadas por el Estado. Los ataques sigilosos en varias fases dirigidos al sudeste asi\u00e1tico representan un reto significativo para la ciberseguridad global.<\/p>\n\n\n\n<p>Es crucial que los usuarios y las organizaciones fortalezcan sus medidas de seguridad, adoptando estrategias proactivas como la actualizaci\u00f3n constante de software, el uso de soluciones de seguridad avanzadas y la implementaci\u00f3n de controles de acceso estrictos para mitigar el riesgo.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">En Resumen<\/h3>\n\n\n\n<p>El grupo de hackers norcoreanos APT37 ha demostrado una notable evoluci\u00f3n en sus t\u00e1cticas de ataque, utilizando herramientas avanzadas como VeilShell y RokRAT para comprometer sistemas en campa\u00f1as altamente dirigidas. Estos ataques subrayan la necesidad de reforzar las defensas cibern\u00e9ticas en todo el mundo para enfrentar las amenazas en constante cambio que representan los actores estatales.<\/p>\n\n\n\n<p>Para mejorar la postura de seguridad, las organizaciones deben adoptar pr\u00e1cticas robustas de ciberseguridad, mantenerse al d\u00eda con las \u00faltimas vulnerabilidades y ataques, y desplegar medidas preventivas que incluyan herramientas de monitoreo y detecci\u00f3n avanzadas.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>En recientes informes, se ha revelado que hackers vinculados a<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[2377,2375],"tags":[8376,8367,6170,8368,1702,1690,8377,5549,6135,188,6774,6167,8369,8372,702,8374,8371,8373,8375,8370,8366],"class_list":["post-3228","post","type-post","status-publish","format-standard","hentry","category-ciberseguridad","category-internet","tag-amenazas-patrocinadas-por-el-estado","tag-apt37","tag-ataques-sigilosos","tag-backdoor","tag-ciberseguridad","tag-corea-del-norte","tag-evasion-heuristica","tag-exfiltracion-de-datos","tag-hackers-norcoreanos","tag-malware","tag-mitigacion-de-riesgos","tag-powershell","tag-rokrat","tag-securonix","tag-seguridad-informatica","tag-servidor-c2","tag-shroudedsleep","tag-spear-phishing-2","tag-sudeste-asiatico","tag-troyano-de-acceso-remoto","tag-veilshell"],"_links":{"self":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/3228","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/comments?post=3228"}],"version-history":[{"count":2,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/3228\/revisions"}],"predecessor-version":[{"id":3230,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/3228\/revisions\/3230"}],"wp:attachment":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/media?parent=3228"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/categories?post=3228"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/tags?post=3228"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}