Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Amenaza persistente avanzada (APT) Campaña de ataque de BabyShark

Campaña de ataque de BabyShark

Por Mezo en Amenaza persistente avanzada (APT), Software malicioso
Traducir a:

Investigadores de ciberseguridad han descubierto ataques continuos y en constante evolución por parte del grupo de hackers norcoreano Kimsuky, que utiliza una compleja táctica de ingeniería social conocida como ClickFix para propagar el malware BabyShark. Estas campañas se dirigen a expertos en seguridad nacional y se valen tanto del engaño humano como del sigilo técnico para obtener acceso a largo plazo a los sistemas de las víctimas.

Dirigir a los expertos con señuelos de phishing

El grupo de amenazas Kimsuky ha estado enviando correos electrónicos de phishing selectivo desde enero de 2025, centrándose inicialmente en expertos en seguridad nacional de Corea del Sur. Los atacantes se hacen pasar por representantes de una publicación empresarial legítima en alemán y atraen a las víctimas con solicitudes de entrevistas falsas. Estos correos electrónicos contienen enlaces a archivos RAR maliciosos que, al abrirse, implementan un script de Visual Basic (VBS). Este script lanza un archivo falso de Google Docs para simular su legitimidad mientras ejecuta código de forma silenciosa para establecer persistencia mediante tareas programadas y robar información del sistema.

Personas engañosas y variantes modificadas de ClickFix

Para marzo de 2025, Kimsuky intensificó sus esfuerzos haciéndose pasar por un alto funcionario de seguridad nacional estadounidense. Los nuevos correos electrónicos de phishing incluían un PDF con una lista de preguntas falsas para reuniones y engañaban a los destinatarios para que ingresaran un código de autenticación para acceder a contenido supuestamente seguro. Esto representa un cambio en el método ClickFix, que pasa de corregir errores falsos a ingresar códigos, lo que aumenta la ilusión de legitimidad.

En abril de 2025, surgió otra variante, esta vez haciéndose pasar por un diplomático japonés y haciendo referencia a una reunión propuesta con el embajador japonés en EE. UU. El ataque nuevamente utilizó una página señuelo de Google Docs para enmascarar la ejecución de un comando de PowerShell ofuscado, lo que permitió la exfiltración continua de datos y la implementación de carga útil a través de una comunicación C2 persistente.

Armamento de portales de empleo falsos y ventanas emergentes

En un giro más elaborado, Kimsuky comenzó a usar sitios web falsos que se hacían pasar por portales de empleo de investigación de defensa. Estos sitios mostraban ofertas de empleo falsas que, al hacer clic, activaban ventanas emergentes similares a ClickFix que incitaban a los usuarios a abrir el cuadro de diálogo Ejecutar de Windows y ejecutar un comando de PowerShell.
Este comando dirigía a los usuarios a instalar Chrome Remote Desktop, lo que otorgaba a los atacantes acceso remoto completo por SSH a través del dominio C2 kida.plusdocs.kro.kr. Una configuración incorrecta en el servidor C2 reveló datos de las víctimas expuestos, que se cree provenían de sistemas surcoreanos comprometidos. Además, una IP china vinculada a esta infraestructura contenía un registro de keylogging y un archivo ZIP de Proton Drive que distribuía BabyShark mediante una compleja cadena de varias etapas.

Innovaciones recientes: CAPTCHA falso e implementación de AutoIt

En junio de 2025, Kimsuky comenzó a explotar páginas falsas de verificación CAPTCHA de Naver. Estas páginas falsas indicaban a los usuarios que pegaran comandos de PowerShell en el cuadro de diálogo Ejecutar, ejecutando un script de AutoIt que recopilaba información confidencial. Esto demuestra aún más el uso adaptativo que el grupo hace de herramientas basadas en scripts e ingeniería social para mantener su presencia en los entornos de las víctimas.

Frentes de phishing en expansión: disfraz académico y ataques HWP

Además de ClickFix, Kimsuky también ha sido vinculado a campañas de phishing camufladas en correspondencia académica. Estos correos electrónicos parecen ser solicitudes para revisar un trabajo de investigación e incluyen un documento HWP protegido con contraseña. Una vez abierto, el documento malicioso utiliza un objeto OLE incrustado para ejecutar un script de PowerShell. Este script realiza un reconocimiento detallado del sistema e implementa AnyDesk, una herramienta legítima de escritorio remoto, para mantener el acceso remoto persistente.

Puntos clave: tácticas y técnicas de un vistazo

Los ataques de ingeniería social de Kimsuky se basan en:

  • Suplantación de personalidades e instituciones de confianza (periodistas, diplomáticos, académicos)
  • Uso de archivos señuelo (Google Docs, PDF, documentos HWP) para enmascarar actividad maliciosa
  • Manipulación de usuarios para que ejecuten comandos de PowerShell mediante errores falsos, solicitudes de autenticación o páginas CAPTCHA

Las características técnicas de la campaña incluyen :

  • Acceso persistente a través de tareas programadas y software de acceso remoto (AnyDesk, Chrome Remote Desktop)
  • Entrega en varias etapas del malware BabyShark
  • Uso de herramientas de automatización basadas en scripts como AutoIt
  • Vulnerabilidades de infraestructura explotadas que exponen datos robados de víctimas

Conclusión: Una amenaza en constante evolución

La campaña BabyShark ilustra la agilidad de Kimsuky para desarrollar sus técnicas de ingeniería social y aprovechar software legítimo e infraestructura pública con fines maliciosos. La estrategia ClickFix destaca cómo los actores de amenazas continúan explotando tanto el comportamiento humano como las vulnerabilidades del sistema. La vigilancia, las estrategias de defensa por capas y la educación del usuario siguen siendo cruciales para mitigar los riesgos que representan estos sofisticados actores de amenazas.

Tendencias

Mas Visto

Cargando...