Los hackers eludieron la protección de las redes gubernamentales. ¿Y qué tiene que ver Yandex.Disk con eso?

La agrupación norcoreana APT37 (conocida también como ScarCruft, InkySquid, Reaper y Ricochet Chollima) ha lanzado una amplia campaña de espionaje denominada Operation HanKook Phantom, dirigida contra organismos gubernamentales y centros de investigación de Corea del Sur y otros países de la región.

Expertos de Seqrite detectaron que los atacantes emplean documentos falsos que se hacen pasar por boletines de la comunidad investigadora «Sociedad Nacional de Inteligencia». Uno de esos ficheros es un acceso directo malicioso (.LNK) que inicia una cadena de descarga y ejecución de cargas útiles incrustadas.

La campaña puede comprometer a académicos, exfuncionarios, empleados de institutos de investigación especializados y otras personas mencionadas en la circular. El objetivo es el robo de información confidencial, la persistencia en los sistemas y el ciberespionaje. La actividad de APT37 no se limita a Corea del Sur: víctimas confirmadas también se han identificado en Japón, Vietnam, Nepal, China, India, Rumanía, Kuwait, Rusia y varios países de Oriente Medio.

Al ejecutarse el acceso directo, un script de PowerShell extrae componentes embebidos del archivo LNK: un documento PDF falsificado, un cargador ejecutable (dat) y la carga útil final. Estos elementos se escriben en el directorio temporal, donde el script lanza un archivo BAT y ejecuta el código directamente en memoria. Una DLL cifrada se descifra mediante un XOR con la clave 0x35 y se inyecta usando llamadas de la API de Windows — GlobalAlloc, VirtualProtect y CreateThread.

El binario final muestra similitudes con la familia ROKRAT y recopila información del sistema, captura pantallas, analiza la estructura de discos, acepta comandos y descarga nuevos componentes maliciosos desde servidores de mando y control usando servicios en la nube: Dropbox, pCloud y Yandex.Disk.

En una segunda oleada se utilizó un documento que contenía una declaración oficial de la subdirectora del Departamento del Comité Central del Partido del Trabajo de Corea, Kim Yo-jong, fechada el 28 de julio y difundida por la agencia KCNA. El texto rechazaba en tono tajante iniciativas del gobierno surcoreano y concluía afirmando que la era de la unidad nacional había terminado y que las relaciones futuras se basarían en la confrontación.

Los objetivos de esta fase incluyeron estructuras relacionadas con la administración del presidente Lee Jae-myung, el Ministerio de Unificación de Corea, KCNA, la alianza ROK–US y APEC.

La actividad maliciosa comenzaba con un acceso directo que ejecutaba PowerShell a través del script BAT tony33.bat. Este descifraba base64 desde tony32.dat, lo ejecutaba en memoria y a continuación cargaba el binario cifrado tony31.dat, protegido con XOR con la clave 0x37. La carga descifrada se ejecutaba mediante llamadas a la API de Windows, evitando totalmente la persistencia en el sistema de archivos.

Las funciones sub_401360 y sub_4021F0 implementan el algoritmo de recolección y exfiltración oculta. Los ficheros de los directorios temporales se archivan, se disfrazan como PDF y se envían al servidor del atacante. Los datos incluyen el nombre del equipo, marcas temporales y se empaquetan en una estructura multipart/form-data para simular una subida desde Chrome. Tras el envío, los archivos originales se eliminan, lo que complica el rastreo.

En el siguiente paso el malware descarga una nueva carga desde el servidor. Luego se inicia un proceso de PowerShell con el código descargado, se ejecuta Sleep y el archivo abs.tmp se borra mediante DeleteFileW.

Operation HanKook Phantom es la continuación de la agresiva actividad de ciberespionaje de APT37, con énfasis en eludir defensas, ejecutar código malicioso sigilosamente en memoria y emplear técnicas complejas de exfiltración. El grupo aprovecha documentos de confianza, plataformas en la nube y herramientas integradas de Windows, evitando archivos maliciosos tradicionales. Los especialistas recomiendan reforzar la protección contra archivos LNK, vigilar actividad anómala de PowerShell, monitorizar accesos a APIs de nube y solicitudes HTTP con parámetros MIME sospechosos.