Cotización de descuento para licencias múltiples
Seguridad informática Los piratas informáticos norcoreanos implementan una...

Los piratas informáticos norcoreanos implementan una nueva puerta trasera VeilShell en ataques sigilosos en el sudeste asiático

Por Mura en Seguridad informática
Traducir a:
Español

En una nueva y escalofriante revelación, se ha descubierto que grupos de ciberespionaje norcoreanos utilizan un nuevo malware de puerta trasera llamado VeilShell para ejecutar ciberataques furtivos en el sudeste asiático. Los expertos en seguridad han vinculado esta actividad con APT37 , un conocido grupo de piratas informáticos que opera bajo múltiples alias, como InkySquid, Reaper, RedEyes y ScarCruft. Con vínculos con el Ministerio de Seguridad del Estado de Corea del Norte, APT37 ha estado activo desde 2012 y es conocido por sus sofisticadas campañas cibernéticas dirigidas a los sectores gubernamentales y corporativos.

La campaña SHROUDED#SLEEP

Los investigadores de seguridad han bautizado esta última operación como SHROUDED#SLEEP, un nombre adecuado para el sigilo y la paciencia demostrados por estos cibercriminales. Se cree que el grupo está llevando a cabo esta campaña con un enfoque específico en Camboya y otros países del sudeste asiático. Al aprovechar VeilShell, un troyano de acceso remoto (RAT) , los atacantes pretenden obtener el control total de las máquinas comprometidas, con la capacidad de exfiltrar datos, manipular registros del sistema y programar tareas de forma encubierta.

¿Cómo funciona VeilShell?

Uno de los aspectos más destacados de este ataque es la forma en que VeilShell ingresa a los sistemas de destino. Si bien aún no está claro cómo se entrega la carga inicial, los expertos sospechan que el grupo utiliza correos electrónicos de phishing selectivo, un método altamente específico para engañar a las personas para que hagan clic en enlaces maliciosos o descarguen archivos infectados. Es probable que la carga inicial se entregue a través de un archivo ZIP que contiene un archivo de acceso directo de Windows (LNK).

Una vez que el usuario desprevenido abre el archivo LNK, se desencadena una secuencia de acciones. Un código de PowerShell (un lenguaje de programación que se usa comúnmente en entornos Windows) se ejecuta en segundo plano y extrae más componentes ocultos en el archivo. Para evitar levantar sospechas, el ataque distrae al usuario con un documento de apariencia inocente, como un archivo Microsoft Excel o PDF, mientras instala los componentes de malware más peligrosos en segundo plano.

La verdadera amenaza proviene del DomainManager.dll, un archivo malicioso ubicado estratégicamente en la carpeta de inicio de Windows, donde garantiza su persistencia al ejecutarse cada vez que se reinicia el sistema. Este archivo se comunica con un servidor remoto de comando y control (C2), lo que otorga a los atacantes el control sobre el dispositivo infectado. Desde allí, pueden espiar archivos, cargar datos confidenciales, descargar más herramientas maliciosas e incluso eliminar o cambiar el nombre de los archivos para borrar sus huellas.

La inyección de AppDomainManager: una técnica furtiva

Lo que distingue a este ataque de otros ciberataques es el uso inteligente de una técnica llamada inyección de AppDomainManager. Si bien puede parecer complejo, el método básicamente permite a los atacantes ejecutar código malicioso cada vez que se inicia un programa legítimo, sin que se active ninguna alarma. Esta táctica fue empleada recientemente por otro grupo de piratas informáticos aliado con China, lo que indica que esta técnica está ganando popularidad entre los cibercriminales de todo el mundo.

El juego a largo plazo: cómo APT37 evade la detección

Una de las razones por las que esta campaña ha pasado desapercibida durante tanto tiempo es la paciencia de los atacantes. Después de implementar VeilShell con éxito, no lo activan de inmediato, sino que el malware permanece inactivo hasta que se reinicia el sistema. Esta activación retrasada, combinada con largos tiempos de inactividad (pausas en la ejecución), hace que el malware sea más difícil de detectar por las herramientas de seguridad tradicionales. Estas técnicas ayudan a los piratas informáticos a evitar la detección durante largos períodos, lo que les permite recopilar información y mantener el control sobre los sistemas comprometidos.

Implicaciones y amenazas futuras

Este reciente descubrimiento se suma a la creciente preocupación sobre las capacidades cibernéticas de Corea del Norte. Grupos como APT37, Lazarus y Kimsuky han sido vinculados a ciberataques patrocinados por el estado destinados al espionaje , la obtención de beneficios económicos y el sabotaje. Con el creciente uso de herramientas sofisticadas como VeilShell, estos grupos plantean una amenaza significativa para el panorama de la ciberseguridad mundial.

Los expertos advierten que esta campaña podría extenderse fácilmente más allá del sudeste asiático, ya que los grupos de piratas informáticos norcoreanos tienen antecedentes de atacar múltiples regiones, incluidos Estados Unidos y Europa. De hecho, apenas unos días antes del descubrimiento de VeilShell, otro grupo norcoreano conocido como Andariel lanzó ataques contra organizaciones estadounidenses en una campaña con motivaciones económicas.

Protección contra VeilShell y amenazas similares

Para las organizaciones y las personas, esto pone de relieve la importancia de mantenerse alerta ante los intentos de phishing selectivo y de garantizar que todos los sistemas se actualicen periódicamente con los últimos parches de seguridad. A continuación, se ofrecen algunos consejos para reducir el riesgo de este tipo de ataques:

  1. Tenga cuidado con los correos electrónicos inesperados: si recibe un correo electrónico con un archivo adjunto o un enlace que no esperaba, piénselo dos veces antes de hacer clic.
  2. Mantenga el software actualizado: aplicar parches periódicamente a los sistemas operativos y aplicaciones puede ayudar a cerrar brechas de seguridad que explotan los atacantes.
  • Utilice software antivirus: si bien no es infalible, un buen programa antivirus puede detectar y bloquear muchas amenazas comunes.
  • Habilite la autenticación de dos factores (2FA): agregar una capa adicional de seguridad dificulta que los atacantes obtengan acceso, incluso si roban su contraseña.

    • En conclusión, el malware VeilShell y la campaña SHROUDED#SLEEP son duros recordatorios de las amenazas en constante evolución en el mundo de la ciberseguridad. Si se mantiene la cautela y se toman medidas de seguridad proactivas, las personas y las empresas pueden estar un paso por delante de estos actores peligrosos.

    Cargando...