Los investigadores de ciberseguridad han descubierto una nueva campaña de suplantación de identidad llevada a cabo por un grupo de hackers vinculado a Corea del Norte llamado Scarcruft (también conocido como APT37) para entregar un malware conocido como RokRat.
Seqrite Labs ha denominado la actividad como Operación HanKook Phantom, y afirma que los ataques parecen tener como objetivo a personas asociadas con la Asociación Nacional de Investigación de Inteligencia, incluidas figuras académicas, exfuncionarios gubernamentales e investigadores.
«Es probable que los atacantes tengan como objetivo robar información confidencial, establecer la persistencia o realizar espionaje», dijo el investigador de seguridad Dixit Panchal dijo en un informe publicado la semana pasada.
El punto de partida de la cadena de ataque es un correo electrónico de suplantación de identidad que contiene un atractivo para el «Boletín de la Sociedad Nacional de Investigación de Inteligencia, número 52», un boletín periódico publicado por un grupo de investigación surcoreano centrado en la inteligencia nacional, las relaciones laborales, la seguridad y las cuestiones energéticas.
La misiva digital contiene un archivo ZIP adjunto que contiene un acceso directo a Windows (LNK) que se hace pasar por un documento PDF y, al abrirlo, lanza el boletín como señuelo y deja caer RokRat sobre el servidor infectado.
Rat Rat es un malware conocido asociado a APT37, cuya herramienta es capaz de recopilar información del sistema, ejecutar comandos arbitrarios, enumerar el sistema de archivos, capturar capturas de pantalla y descargar cargas útiles adicionales. Los datos recopilados se filtran a través de Dropbox, Google Cloud, pCloud y Yandex Cloud.
Seqrite dijo que detectó una segunda campaña en la que el archivo LNK sirve de conducto para un script de PowerShell que, además de dejar caer un documento señuelo de Microsoft Word, ejecuta un script por lotes de Windows ofuscado que se encarga de implementar un cuentagotas. A continuación, el archivo binario ejecuta una carga útil posterior para robar datos confidenciales del servidor infectado y, al mismo tiempo, ocultar el tráfico de red mientras se sube un archivo de Chrome.
El documento de señuelo utilizado en este caso es una declaración emitido de Kim Yo Jong, subdirector del Departamento de Publicidad e Información del Partido de los Trabajadores de Corea, con fecha del 28 de julio, en la que rechaza los esfuerzos de reconciliación de Seúl.
«El análisis de esta campaña pone de relieve cómo APT37 (Scarcruft/InkySquid) sigue empleando ataques de spear-phishing altamente personalizados, aprovechando los cargadores de LNK maliciosos, la ejecución de PowerShell sin archivos y los mecanismos de exfiltración encubiertos», afirma Panchal.
«Los atacantes atacan específicamente a sectores gubernamentales, instituciones de investigación y académicos de Corea del Sur con el objetivo de recopilar información de inteligencia y espiar a largo plazo».
El desarrollo se produce como empresa de ciberseguridad QianXin detallada ataques organizados por el infame Grupo Lazarus (también conocido como QianXin) usando Haga clic en Fijar tácticas al estilo de engañar a los solicitantes de empleo para que descarguen una supuesta actualización relacionada con NVIDIA para solucionar problemas con la cámara o el micrófono al realizar una evaluación en vídeo. Los detalles de esta actividad fueron divulgado anteriormente de Gen Digital a finales de julio de 2025.
El ataque ClickFix provoca la ejecución de un script de Visual Basic que conduce al despliegue de Cola de castor , un ladrón de JavaScript que también puede ofrecer una puerta trasera basada en Python denominada InvisibleFerret. Además, los ataques abren el camino a una puerta trasera con funciones de ejecución de comandos y lectura/escritura de archivos.
La divulgación también sigue a las nuevas sanciones. impuesto de la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de los Estados Unidos contra dos personas y dos entidades por su participación en el plan de trabajadores norcoreanos de tecnología de la información remota (TI) para generar ingresos ilícitos para los programas de armas de destrucción masiva y misiles balísticos del régimen.
El Grupo Chollima, en un informe publicado la semana pasada, detalló su investigación sobre un clúster de trabajadores de TI afiliado a Aguanieve en forma de piedra lunar que rastrea como BABYLONGROUP en relación con un juego de cadena de bloques de juego para ganar (P2E) llamado Defi Tankland .
Se estima que Logan King, el supuesto CTO de DefiTankland, es en realidad un trabajador de TI norcoreano, una hipótesis respaldada por el hecho de que la cuenta GitHub de King ha sido utilizada como referencia por un desarrollador independiente y blockchain ucraniano llamado «Ivan Kovch».
«Muchos miembros habían trabajado anteriormente en un enorme proyecto de criptomonedas para una empresa turbia llamada ICICB (que creemos que es una tapadera), que uno de los miembros no pertenecientes a la RPDC del clúster dirige el mercado chino de ciberdelincuencia FreeCity, y en una interesante conexión entre DetankZone y un antiguo trabajador de TI que anteriormente operaba en Tanzania», el Grupo Chollima dijo .
«Si bien el CEO de DefiTankland, Nabil Amrani, ha trabajado anteriormente con Logan en otros proyectos de cadena de bloques, no creemos que sea responsable de ninguno de los desarrollos. Todo esto significa que el juego «legítimo» en el que se basa DetankZone, de Moonstone Sleet, fue desarrollado de hecho por trabajadores informáticos de la RPDC, para luego ser adquirido y utilizado por un grupo APT norcoreano».