«Operación Poseidón»: cuando un virus norcoreano llega haciéndose pasar por un estado de cuenta bancario
Un solo clic accidental puede inutilizar la protección del sistema.
Una campaña denominada «Operación Poseidón» fue detectada como un ataque dirigido complejo en el que los atacantes usaron mecanismos de redirección de tráfico publicitario para eludir los filtros de correo electrónico y disminuir la alerta de los usuarios.
El elemento central de este esquema fue el uso de estructuras de enlaces de Google Ads y Naver, lo que permitió enmascarar los redireccionamientos maliciosos como clics publicitarios legítimos. Según Genians Security Center, detrás del ataque está el grupo norcoreano Konni, conocido por el uso de técnicas de ingeniería social y de scripts maliciosos AutoIt.
El objetivo principal fueron usuarios en Corea del Sur, sobre todo en los sectores financiero y de defensa de los derechos humanos. Los delincuentes enviaban correos electrónicos en nombre de bancos y organizaciones de derechos humanos, solicitando abrir archivos adjuntos comprimidos con documentos. En realidad, esos mensajes contenían accesos directos LNK que ejecutaban scripts AutoIt. El script cargaba en memoria el malware EndRAT, haciéndolo pasar por un documento PDF. La particularidad de este método es que no se requieren acciones adicionales del usuario después de ejecutar el archivo.
Dentro de su infraestructura, los atacantes usaron activamente sitios de WordPress poco protegidos, convirtiéndolos en hosts intermedios y canales de mando y control. Esto les permitió cambiar dominios con rapidez y dificultó el rastreo. También se detectaron rastreadores insertados en los correos: imágenes transparentes de 1×1 píxel que registraban la apertura del mensaje.
Desde julio de 2025 se observó un cambio de táctica. Si antes los enlaces maliciosos se insertaban directamente en el cuerpo del mensaje, los atacantes empezaron a envolverlos en enlaces publicitarios de Google y Naver. Ese esquema permitía evadir filtros basados en la reputación de URLs y convencer al usuario de la legitimidad del contenido.
Una característica distintiva de la campaña fue el alto grado de camuflaje: en los correos se usaban nombres de bancos reales y expresiones como «confirmación de transferencia» o «consentimiento para el tratamiento de datos personales». Algunos archivos imitaban cartas oficiales sobre participación en eventos relacionados con los derechos humanos en Corea del Norte. Todos ellos contenían archivos LNK maliciosos que, al activarse, se conectaban al mismo servidor de mando y control.
Sobre la base del análisis de la infraestructura y del código se confirmó que la serie de ataques es obra del grupo Konni. En varios casos el script malicioso incluía la cadena «Poseidon — Attack», que funcionó como etiqueta interna de la operación. Aunque en versiones recientes fue eliminada, la ruta original de compilación señalaba la conservación de la estructura del proyecto y del enfoque de desarrollo.
Dado el nivel de complejidad del ataque, no es posible prevenirlo eficazmente solo con filtrado o soluciones antivirus básicas. Los especialistas subrayan la importancia de emplear sistemas de detección basados en comportamiento, como sistemas de detección y respuesta en endpoints (EDR), y de realizar un análisis continuo de las tácticas e infraestructura de las amenazas. En particular, detectar la transición de accesos directos a la ejecución de scripts o a comandos de PowerShell puede ser un elemento clave de la respuesta temprana.
La aplicación de una protección multinivel y de un análisis contextual de eventos permite localizar el incidente a tiempo, reducir el tiempo de respuesta y evitar la propagación del ataque dentro de la organización. Como Konni sigue perfeccionando sus métodos, la pertinencia de estas medidas solo aumentará.