«Hola, soy periodista, rellene la encuesta»: cómo hackers de Corea del Norte engañan a expertos de Corea del Sur

Durante una amplia campaña maliciosa denominada Operation Artemis, el grupo de hackers norcoreano APT37, también conocido como ScarCruft, empleó tácticas complejas que aprovecharon el editor de texto surcoreano HWP y técnicas de suplantación de bibliotecas DLL. El objetivo de la operación fueron especialistas de Corea del Sur, principalmente en áreas relacionadas con la política, los medios y las relaciones internacionales. El vector inicial del ataque consistió en correos de phishing con supuestas ofertas de entrevistas o invitaciones a eventos.

Según la empresa surcoreana Genians, los atacantes se hacían pasar por reporteros de televisión y académicos, enviando a las posibles víctimas documentos HWP disfrazados de cuestionarios o invitaciones. Dentro de los documentos había un objeto OLE que iniciaba una cadena de acciones que terminaba con la carga de una biblioteca maliciosa mediante suplantación de DLL en el contexto de un proceso legítimo. Este enfoque permitía eludir las protecciones basadas en firmas y dificultaba el análisis.

El informe de Genians presta especial atención al uso de esteganografía: los datos maliciosos se ocultaban en imágenes, incluyendo retratos que no habían sido registrados anteriormente, lo que aportaba mayor sigilo. También se detectaron casos de reutilización de escenarios de ataque usados con anterioridad, hasta el punto de coincidir las cadenas de rutas a la información de depuración (PDB), lo que sugiere el trabajo sistemático del mismo actor de amenaza.

Los módulos de actividad maliciosa, como «version.dll», se ejecutaban mediante herramientas Sysinternals, que permitían cargar código malicioso bajo la apariencia de utilidades legítimas. Este método eludía las comprobaciones estáticas en busca de ejecutables sospechosos. La biblioteca cargada descifraba la carga maliciosa por etapas, empleando XOR con distintas claves, incluso a nivel de SSE, lo que aceleraba la ejecución y aumentaba la resistencia al análisis.

El objetivo final de la campaña fue la implantación y activación de una herramienta de acceso remoto de la familia RoKRAT, ampliamente utilizada por APT37. Esta permitía establecer comunicación oculta con los servidores de control, interceptar datos y ejecutar comandos en la máquina infectada.

Las plataformas comerciales en la nube sirvieron como canales de comunicación. El uso de esos servicios no solo enmascaraba el tráfico malicioso como legítimo, sino que también dificultaba su bloqueo a nivel de red. El análisis mostró que los atacantes crearon cuentas en ambos servicios en la nube con antelación, usando identificadores idénticos, lo que confirma la vinculación estratégica de su infraestructura.

El informe subraya que APT37 actúa metódicamente y continúa perfeccionando las tácticas para eludir las defensas. Las técnicas empleadas buscan no solo evitar la detección, sino también dificultar el análisis y la investigación forense. Esto obliga a las organizaciones a revisar sus enfoques de protección — en particular, adoptar soluciones EDR con capacidades de análisis de comportamiento y seguimiento de la actividad en tiempo real.

La detección de este tipo de ataques solo es posible si se dispone de herramientas capaces de analizar no solo eventos aislados, sino toda la cadena de acciones — desde la apertura del documento hasta el acceso a la infraestructura en la nube. Solo así se puede identificar a tiempo la actividad oculta, localizar la infección y prevenir la exfiltración de información.