Los investigadores de seguridad cibernética han descubierto una nueva campaña de phishing realizada por el comunidad de piratería vinculado a Corea del Septentrión llamado Scarcruft (igualmente conocido como APT37) para entregar un malware conocido como Rokrat.
La actividad ha sido con nombre en código Operación Hankook Phantom por Seqrite Labs, afirmando que los ataques parecen dirigirse a las personas asociadas con la Asociación Franquista de Investigación de Inteligencia, incluidas las cifras académicas, los ex funcionarios gubernamentales e investigadores.
«Los atacantes probablemente apuntan a robar información confidencial, establecer persistencia o realizar espionaje», dijo el investigador de seguridad Dixit Panchal en un crónica publicado la semana pasada.
El punto de partida de la sujeción de ataque es un correo electrónico de phishing de venablo que contiene un señuelo para el «Boletín de la Sociedad Franquista de Investigación de Inteligencia: el tema 52», un boletín publicación emitido por un comunidad de investigación surcoreano centrado en la inteligencia doméstico, las relaciones laborales, la seguridad y los problemas de energía.
La misiva digital contiene un archivo adjunto de archivo zip que contiene un hato de Windows (LNK) disfrazado de documento PDF, que, cuando se abre, venablo el boletín como un señuelo mientras deja caer a Rokrat en el host infectado.
Rokrat es un malware conocido asociado con APT37, con la aparejo capaz de compendiar información del sistema, ejecutar comandos arbitrarios, enumerando el sistema de archivos, capturar capturas de pantalla y descargar cargas aperos adicionales. Los datos recopilados se exfiltran a través de Dropbox, Google Cloud, PCloud y Yandex Cloud.
Seqrite dijo que detectó una segunda campaña en la que el archivo LNK sirve como un conducto para un script de PowerShell que, adicionalmente de dejar un documento de Microsoft Word de señuelo, ejecuta un script de lotes de Windows ofuscado que es responsable de desplegar un cuentagotas. El binario luego ejecuta una carga útil de la próxima etapa para robar datos confidenciales del host comprometido mientras oculta el tráfico de la red como una carga de archivo Chrome.
El documento de señuelo utilizado en este caso es una manifiesto emitida por Kim Yo Jong, subdirector del Unidad de Publicidad e Información del Partido de los Trabajadores de Corea y, con aniversario del 28 de julio, rechazando los esfuerzos de Seúl en la reconciliación.
«El exploración de esta campaña destaca cómo Apt37 (escorruft/Inkysquid) continúa empleando ataques de phishing de venablo en extremo personalizados, aprovechando cargadores LNK maliciosos, ejecución de PowerShell sin fila y mecanismos de exfiltración encubiertos», dijo Panchal.
«Los atacantes apuntan específicamente a los sectores gubernamentales de Corea del Sur, instituciones de investigación y académicos con el objetivo de la sumario de inteligencia y el espionaje a abundante plazo».
El avance se produce cuando la compañía cibernética Qianxin ataques detallados montados por el infame Lázaro Group (igualmente conocido como Qianxin) utilizando tácticas de estilo ClickFix para engañar a los buscadores de empleo en la descarga de una supuesta puesta al día relacionada con Nvidia para acometer problemas de cámara o micrófono al proporcionar una evaluación de video. Los detalles de esta actividad fueron revelados previamente por Gen Digital a fines de julio de 2025.
El ataque de ClickFix da como resultado la ejecución de un script Visual Basic que conduce a la implementación de Beaverail, un robador de JavaScript que igualmente puede entregar una puerta trasera basada en Python denominada InvisibleFerret. Por otra parte, los ataques allanan el camino para una puerta trasera con la ejecución de comandos y las capacidades de leída/escritura de archivos.
La divulgación igualmente sigue a nuevas sanciones impuestas por el Unidad de Control de Activos Extranjeros (OFAC) del Unidad de Fortuna de los Estados Unidos contra dos individuos y dos entidades para su papel en el esquema de trabajadores de la Tecnología de la Información Remota de Corea del Septentrión (TI) para difundir ingresos ilícitos para las armas de destrucción de masas y los programas de misiles balísticos del régimen.
El Colección Chollima, en un crónica publicado la semana pasada, detalló su investigación sobre un clúster de trabajadores de TI afiliado con Moonstone Sleet que rastrea como Babylongroup en relación con un articulación Blockchain Play-to Earn (P2E) llamado Defitankland.
Se evalúa que Logan King, el supuesto CTO de Defitankland, es en ingenuidad un trabajador de TI de Corea del Septentrión, una hipótesis reforzada por el hecho de que la cuenta GitHub de King ha sido utilizada como relato por un freelancer y desarrollador de blockchain ucraniano llamado «Ivan Kovch».
«Muchos miembros habían trabajado previamente en un gran esquema de criptomonedas en nombre de una compañía sombreada señal ICICB (que creemos que es un frente), que uno de los miembros que no son DPRK del clúster dirigen el mercado de delitos cibernéticos chinos, y una conexión interesante entre Detankzone y un trabajador de TI veterano que anteriormente operaba fuera de Tanzania», dijo el comunidad Chollima Group.
«Si admisiblemente el CEO de Defitankland, Nabil Amrani, ha trabajado anteriormente con Logan en otros proyectos de blockchain, no creemos que sea responsable de ningún de los desarrollos. Todo esto significa que el articulación» cierto «detrás de la detankzone de Moonstone Sleet fue desarrollado de hecho por los trabajadores de TI de DPRK, solo para ser recogido y utilizado por un comunidad de aptos de Cornean del Septentrión».
