Una revista de hackers ha hecho pública una investigación que, según sus autores, revela las técnicas operativas de una agrupación APT norcoreana. El reportaje describe herramientas, tácticas y la infraestructura que el grupo habría utilizado en campañas

En el último número de la revista hacker Phrack se publicó un archivo de gran tamaño relacionado con la actividad de grupos cibercriminales norcoreanos. En la filtración aparecieron métodos de explotación, datos sobre sistemas comprometidos y un rootkit para Linux que demuestra un alto nivel de sigilo y capacidades.

Los autores de la publicación señalan que parte del material apunta a un grupo chino que ataca organismos estatales y empresas privadas en Corea del Sur y Taiwán, aunque también se hallaron numerosas coincidencias con las operaciones del conocido colectivo norcoreano Kimsuky.

En el archivo hay certificados que dan acceso a redes cerradas, además de capturas de pantalla del desarrollo de backdoors activos. Resulta especialmente peligroso que el paquete incluya archivos ejecutables maliciosos para distintas plataformas, que si se ejecutan pueden causar daños graves.

El rootkit, analizado en su variante de 2025, está escrito como un módulo cargable del kernel de Linux basado en la biblioteca khook. Esta arquitectura permite interceptar llamadas al sistema a nivel de kernel, eludiendo los mecanismos de detección habituales.

El software malicioso se oculta en la lista de lsmod, esconde procesos, actividad de red y archivos de autoinicio en los directorios /etc/init.d y /etc/rc.d. Se activa al recibir un paquete especial en cualquier puerto; entonces se abre un canal cifrado para lanzar una shell de comandos, transferir archivos, configurar un proxy o encadenar varios hosts.

Para aumentar el sigilo se añadieron medidas anti-análisis: el historial de comandos se redirige a /dev/null, se eliminan los timeouts y toda la interacción de red va cifrada.

Según los expertos, el módulo se instala en el sistema haciéndose pasar por un componente llamado tracker-fs en /usr/lib64, se marca como no firmado (por defecto con el nombre vmwfxs) y usa para comunicarse un socket no estándar: /proc/acpi/pcicard. Su punto débil es la fuerte atadura a versiones concretas del kernel, por lo que las actualizaciones pueden romper su funcionamiento. Aun así, el rootkit camufla el tráfico como servicios legítimos como SSH o puertos web, eludiendo los cortafuegos.

La detección de este tipo de amenazas es difícil, pero posible. Para la búsqueda automática se emplean herramientas especializadas capaces de detectar archivos ocultos, procesos invisibles y señales de modificación del kernel.

La comprobación manual incluye revisar los registros dmesg o /var/log/kern.log para detectar módulos no firmados, analizar rutas sospechosas mediante llamadas directas al sistema y auditar los servicios systemd, en particular tracker-fs.service. A nivel de binarios, en /usr/include/tracker-fs/tracker-efs aparecen cadenas sospechosas que apuntan al carácter malicioso del programa. Incluso oculto a las utilidades estándar ps y ss, con herramientas específicas es posible detectar procesos activos.

Las funciones del rootkit se amplían con soporte para conexiones en múltiples etapas, uso de proxies SOCKS5 y ralentización en la salida de paquetes para evadir la monitorización. Ante una compromisión se recomienda aislar la máquina y reconstruirla por completo, ya que con acceso root no se puede garantizar la integridad del entorno. Los expertos aconsejan centrarse en técnicas universales de detección, en lugar de indicadores basados en firmas que cambian con facilidad.

El archivo publicado subraya una vez más que las herramientas desarrolladas a nivel estatal alcanzan un alto grado de sigilo y eficacia. Ante el aumento de ataques de este tipo, los administradores de sistemas Linux deben prestar especial atención a la monitorización para detectar anomalías y prevenir intrusiones persistentes.